El fabricante de carteras de criptomonedas Trezor ha revelado una vulnerabilidad encontrada en el chip de seguridad utilizado en su nuevo dispositivo Safe 7. A pesar del descubrimiento, la empresa ha asegurado a los usuarios que sus criptoactivos permanecen seguros, no hay claves privadas ni respaldos en riesgo, y actualmente no se requiere ninguna acción por parte de los usuarios.
Fuente y descubrimiento de la vulnerabilidad
La vulnerabilidad afecta al chip de seguridad TROPIC01, desarrollado por Tropic Square, una empresa afiliada a Trezor. Según Trezor, el problema fue identificado durante una revisión de seguridad independiente realizada por Donjon, el conocido equipo interno de investigación de seguridad de hardware de Ledger. Los investigadores de Donjon lograron eludir ciertas capas protectoras del chip utilizando equipos especializados de laboratorio.
Mini glosario: Donjon es un equipo de investigación de seguridad de hardware que opera dentro de Ledger. El grupo es reconocido por realizar pruebas de penetración que involucran escenarios de ataque físico en chips de cartera.
Posteriormente, Tropic Square identificó una segunda debilidad relacionada en el mismo chip. Este problema podría potencialmente exponer información adicional almacenada en el chip. Sin embargo, Trezor ha enfatizado que el Safe 7 está diseñado con múltiples capas de seguridad y no depende únicamente de un solo componente para su protección.
Sin riesgo directo para los fondos de los usuarios
Según el comunicado de la compañía, la vulnerabilidad no permite a los atacantes acceder directamente a los criptoactivos, claves privadas o respaldos de billetera de los usuarios. Como resultado, Trezor ha asegurado a los clientes que sus fondos permanecen protegidos y que no hay necesidad de que los usuarios tomen precauciones adicionales en este momento.
Trezor ha clarificado que la vulnerabilidad no compromete los criptoactivos, claves privadas o respaldos de billetera de los usuarios, subrayando que el Safe 7 está protegido por un enfoque de seguridad en capas.
La compañía explicó que para que tal ataque sea plausible, un atacante necesitaría obtener acceso físico al dispositivo, poseer habilidades técnicas avanzadas y usar equipos costosos de laboratorio. Hasta la fecha, no hay evidencia de que la vulnerabilidad haya sido explotada en escenarios del mundo real.
Transparencia destacada dentro de la industria
El CEO de Trezor, Matej Zak, ha expresado que el proceso transparente seguido para identificar, investigar y divulgar públicamente la vulnerabilidad debería servir como punto de referencia para el sector. Este enfoque proactivo ha destacado una vez más la importancia de las auditorías de seguridad independientes y las prácticas de divulgación responsable entre los fabricantes de carteras de hardware.
Matej Zak describió la metodología abierta adoptada para descubrir, analizar y compartir detalles de la vulnerabilidad como el modelo estándar que toda la industria debería adoptar.
El anuncio de Trezor ha definido límites claros en cuanto al alcance del incidente, reiterando que los fondos de los usuarios permanecen a salvo. Según las divulgaciones de la compañía, el riesgo potencial por la vulnerabilidad parece limitado solamente a escenarios de ataque físico altamente técnicos bajo condiciones muy específicas.
