Trezor(s) T falsa(s) vendida(s) … y su cripto robada … (en Rusia que se sepa
No he visto por ahora demasiados detalles, y quedan incógnitas por resolver relativas al caso concreto, el vendedor implicado, y el número de casos impactados, pero parece que unos hackers lograron colar dispositivos Trezor manipulados en el mercado ruso, para luego hacerse con los fondos protegidos.
Los artículos abajo referenciados describen que la Trezor T se compró en un “proveedor de confianza” a través de un website conocido de anuncios clasificados. Sin que se indique el portal ni el proveedor, me imagino algo del estilo de eBay, comprado a un proveedor con muchas ventas en general de todo tipo de productos, y cierta reputación a través de las valoraciones. Que este proveedor fuese cómplice del caso tampoco se conoce.
La Trezor T no tenía signos de haber sido manipulada (que lo fue), y funcionaba como si nada, pero tenía cambios tanto en el hardware como en el firmware.
Izquierda -> original. Derecha -> manipulado
El manipulado es complejo, reemplazando componentes, y cargando un firmware que evita aspectos como la verificación de la originalidad del firmware, reemplazando la semilla aleatoria por una preconcebida. El dispositivo falso incluso permite la creación de una passphrase, pero (hábilmente) la delimita a un solo carácter.
Desde Trezor indican que su software, Trezor One, avisa si se está usando un firmware que no es el oficial, pero no se detalla más de si este paso fallaba con el firmware manipulado, o bien si el usuario no usaba el software y optó por otro de su elección (ej/ Electrum – sólo para bitcoin por eso).
El caso parece ser de los ataques más complejos que recuerde, y desconocemos su alcance e impacto. Intuyo que el alcance es muy bajo, dado que el proceso de cambiar componentes sobre el dispositivo no es industrial. A su vez, cambiar el firmware no debe ser moco de pavo precisamente.
Ver:
https://cointelegraph.com/news/trusted-seller-vends-fake-trezor-wallets-stealing-crypto-kaspersky
https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/
Los artículos abajo referenciados describen que la Trezor T se compró en un “proveedor de confianza” a través de un website conocido de anuncios clasificados. Sin que se indique el portal ni el proveedor, me imagino algo del estilo de eBay, comprado a un proveedor con muchas ventas en general de todo tipo de productos, y cierta reputación a través de las valoraciones. Que este proveedor fuese cómplice del caso tampoco se conoce.
La Trezor T no tenía signos de haber sido manipulada (que lo fue), y funcionaba como si nada, pero tenía cambios tanto en el hardware como en el firmware.
Izquierda -> original. Derecha -> manipulado
El manipulado es complejo, reemplazando componentes, y cargando un firmware que evita aspectos como la verificación de la originalidad del firmware, reemplazando la semilla aleatoria por una preconcebida. El dispositivo falso incluso permite la creación de una passphrase, pero (hábilmente) la delimita a un solo carácter.
Desde Trezor indican que su software, Trezor One, avisa si se está usando un firmware que no es el oficial, pero no se detalla más de si este paso fallaba con el firmware manipulado, o bien si el usuario no usaba el software y optó por otro de su elección (ej/ Electrum – sólo para bitcoin por eso).
El caso parece ser de los ataques más complejos que recuerde, y desconocemos su alcance e impacto. Intuyo que el alcance es muy bajo, dado que el proceso de cambiar componentes sobre el dispositivo no es industrial. A su vez, cambiar el firmware no debe ser moco de pavo precisamente.
Ver:
https://cointelegraph.com/news/trusted-seller-vends-fake-trezor-wallets-stealing-crypto-kaspersky
https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/