Sappiamo tutti molto bene che le criptovalute possono essere archiviate in un'ampia varietà di siti. Possiamo averli nei portali di scambio (opzione non consigliata), in un portafoglio nel nostro computer (consigliato ma con backup), e possiamo anche archiviarli offline in dispositivi simili alle memorie USB. Tuttavia, ora secondo gli ultimi rapporti, un ragazzo di 15 anni è riuscito a hackerare un portafoglio di criptovaluta "non hackerabile".
Le criptovalute possono essere archiviate in un'ampia varietà di siti. Possiamo averli nei portali di scambio (opzione non consigliata), in un portafoglio nel nostro computer (consigliato ma con backup), e possiamo anche archiviarli offline in dispositivi simili alle memorie USB. Una società che ha affermato di avere portafogli crittografici (dispositivo USB offline) che non erano hackerabili ha appena visto come un bambino di 15 anni li ha lasciati in evidenza.
La società si chiama Ledger ed è francese. Hanno sempre pensato che il loro hardware per l'archiviazione delle criptovalute fosse così sicuro che nessuno potesse corromperli senza che i loro proprietari se ne accorgessero. Per questo, usano una tecnica chiamata attestazione anonima, o dichiarazione anonima, che crea firme non falsificabili in modo che venga eseguito solo il codice approvato. Nel 2015, la società ha affermato che era impossibile per un utente malintenzionato sostituire il firmware e passarlo attraverso il processo di dichiarazione senza conoscere la chiave privata di Ledger.
Tuttavia, un quindicenne del Regno Unito ha dimostrato che non è così. Il ragazzo, di nome Saleem Rashid, ha spiegato come funziona una backdoor trovata nel Ledger Nano S, che vale 100 dollari e che l'azienda sostiene di aver già venduto milioni. Funziona anche con il Ledger Blue, nonostante sia di fascia alta e costa $ 200.
La backdoor ha solo 300 byte e fa sì che il dispositivo generi indirizzi di portafoglio e password predefiniti noti all'attaccante. Pertanto, l'attaccante può inserire la password nel portafoglio per recuperare le chiavi che il vecchio dispositivo memorizza per quegli indirizzi. In questo modo, se proviamo a inviare denaro a un'altra persona, un utente malintenzionato può modificare l'indirizzo e inserire il proprio, nonché modificare l'importo. L'exploit consente di fare tutto questo pur avendo accesso fisico al dispositivo.
La società ha rilasciato una patch due settimane fa per Nano S e afferma che la vulnerabilità non era critica e che l'attacco non consentiva l'estrazione delle chiavi private, a cui Rashid ha risposto che quest'ultima era una bugia.
Rashid non ha ancora testato se il metodo funziona su dispositivi già patchati. Tuttavia, afferma che una parte fondamentale del design dell'hardware di Ledger rende molto probabile che con una semplice modifica possa essere fatto funzionare di nuovo. Il sistema sfrutta una vulnerabilità che esiste nel modo in cui i microcontrollori comunicano al suo interno.
Un professore della John Hopkins University di nome Matt Green ha esaminato il post di Rashid e ritiene che sia molto difficile per la patch rilasciata questo mese aver risolto la vulnerabilità. Il chip di sicurezza non può conoscere il codice in esecuzione nel processore, quindi devi chiedere al processore stesso e "confidare" che sia legittimo.
Allora, cosa ne pensi di questo? Condividi semplicemente tutte le tue opinioni e pensieri nella sezione commenti qui sotto.