Investigadores demostraron cómo pudieron vulnerar las billeteras de Trezor One, Ledger Nano S y Ledger Blue en la conferencia 35C3 Refreshing Memories y mediante un video publicado el 27 de diciembre.

El equipo de investigación tras el proyecto de hackeo “Wallet.fail” está compuesto por el diseñador de hardware e investigador de seguridad Dmitry Nedospasov, el desarrollador de software Thomas Roth y el investigador de seguridad y antiguo oficial de submarino Josh Datko.

Durante la conferencia, los investigadores anunciaron que habían logrado extraer la llave privada de una billetera Trezor One tras sobre-escribir la información existente. Sin embargo, señalaron que este ataque sirve únicamente si el usuario no configuró una passphrase.

En este sentido, Pavol Rusnak, CTO de SatoshiLabs (la compañía detrás de Trezor), comentó en Twitter que no habían sido notificados antes de la demostración, y que atenderían estos problemas de vulnerabilidad en una actualización a fines de enero.

Asimismo, el mismo grupo de hackers también aseguró durante la conferencia que habían podido instalar cualquier firmare en Ledger Nano S, una de las billeteras más importantes del mercado.

Si bien el grupo utilizó el ataque para jugar el clásico juego “Snake” en el dispositivo, un miembro del equipo aseguró que podían enviarse transacciones maliciosas al ST31 (el chip de seguridad) e incluso confirmarlas ellos mismos, o mostrar una transacción diferente a la que se muestra en la pantalla.

El equipo, además, demostró las vulnerabilidades del Ledger Blue, el hardware de billetera más costoso producido por la compañía, que incluso viene con una pantalla táctil a color. Sin embargo, a pesar de su diseño elegante, las señales pasan hacia la pantalla con un tramo muy rápido desde la tarjeta madre, lo que puede desembocar en filtraciones al conectársele un cable USB.

Asimismo, de momento, ni Ledger ni Trezor han respondido a la prensa sus preguntas sobre este asunto.