El pasado 4 de agosto se dio el lanzamiento de la nueva versión de la aplicación de Bitcoin 1.4.6, que está disponible para hardware wallets: Ledger Nano X y el Ledger Nano S. Esta actualización fue creada a raíz del hallazgo de Monokh sobre una vulnerabilidad en las transacciones, en mayo de 2020.
Hallazgo de la vulnerabilidad
Mediante el programa de recompensas, que desafía a investigadores de ciberseguridad a encontrar vulnerabilidades significativas dentro del sistema, para ser reportadas a los desarrolladores de Ledger; el 2 de mayo, un experto de seguridad cibernética, conocido como Monokh, presentó un informe que detalla una debilidad potencial en el hardware wallet.
Sin embargo, Ledger asegura a sus usuarios que la misma no podría ser usada para que softwares maliciosos obtengan datos confidenciales, como sus claves privadas o frases de recuperación de cuentas.
El hallazgo de Monokh señala que, mientras los usuarios piensan que están haciendo una transacción de derivados de Bitcoin como por ejemplo Dogecoin, en realidad estarían haciendo una operación de Bitcoin a través del dispositivo de monederos de hardware. Para ser más precisos, en un comunicado, los expertos de Ledger expresan detalladamente dicha vulnerabilidad:
“Primero, alguien podría obtener una aplicación de billetera maliciosa o poner en peligro su computadora. Esta aplicación de billetera parecería que está enviando Dogecoin, pero en su lugar, enviaría una ruta de derivación diferente al dispositivo Ledger, es decir, la ruta de derivación de Bitcoin. Dado que el esquema de firma para Dogecoin funciona igual al de Bitcoin, la firma creada por la aplicación Dogecoin Ledger Nano X/S igualmente funcionaría para crear una transacción de Bitcoin. Esta vulnerabilidad también se puede usar para verificar una dirección de recepción a través de una ruta de derivación incorrecta”.
Solución y divulgación
Así pues, Ledger logró superar la etapa de la vulnerabilidad de la aplicación de Bitcoin, ya que, la nueva versión permite comprobar la ruta de derivación que los usuarios deseen utilizar para completar cualquier transacción específica, ya sea Dogecoin o Bitcoin. Además, si la ruta resulta incorrecta, la app anunciaría que la ruta de derivación es inusual. Y, para firmar cualquier transacción, en caso de que el usuario no esté seguro, aparecerían los siguientes mensajes continuos: “firma de ruta inusual” y “rechazar si no está seguro”.
Finalmente, Monokh, quien pudo comunicar la falla mediante el programa de recompensas de errores, proporcionó un informe detallado a Ledger. Desde entonces, la compañía tuvo un plazo de 90 días para dar solución a la vulnerabilidad antes de hacerla pública, como parte del procedimiento estándar dentro de los programas de recompensas de errores, de manera que los desarrolladores tengan tiempo para encontrar una solución y mantener a los usuarios seguros.