La cartera de TronLink sufre de una mala encriptación, dice el investigador

La cartera de TronLink sufre de una mala encriptación, dice el investigador

En resumen

Jean-Philippe Aumasson ha revelado una potencial vulnerabilidad dentro del código de la cartera de TronLink. Según Aumasson, utiliza un nivel de cifrado débil.Si un ataque tuviera éxito, la criptografía de Tron de la víctima podría ser sacada directamente de su cartera.

Jean-Phillippe Aumasson, CSO y cofundador de Taurus, una compañía suiza de tecnología de punta especializada en infraestructura digital segura para cripto-monedas y activos digitales, descubrió ayer una potencial vulnerabilidad en la popular billetera TronLink.

La plataforma de cadenas de bloqueo Tron ha sido acusada anteriormente de no tomarse la seguridad en serio. A principios de 2018, hubo denuncias de que Tron supuestamente plagió su libro blanco. Esta vez, la supuesta vulnerabilidad se encuentra en el código subyacente de su billetera TronLink, y según Aumasson, no ha sido detectada.

“[Estas son] deficiencias básicas en la criptografía que cualquier auditor competente habría detectado”, dijo Aumasson .

Un mnemotécnico es una lista de 12 palabras que se puede utilizar para convertirse en una clave privada, que controla el acceso a alguna criptografía. Aumasson afirma que los mnemónicos de TronLink están mal encriptados.

“Parece que la cartera oficial de Tron utiliza AES-ECB para encriptar el mnemotécnico de 12 palabras”, tweeteó Aumasson.

AES-ECB se refiere al código utilizado para encriptar el mnemotécnico de 12 palabras. La razón por la que esta es una mala elección, según Aumasson, es que el modo ECB no protege los datos encriptados con éxito. “El modo ECB trata cada bloque de datos de forma independiente, mientras que debería haber alguna correlación entre los bloques para garantizar la forma más alta de seguridad”, dijo Aumasson.

El BCE ha sido criticado durante mucho tiempo por múltiples investigadores de seguridad por ser una forma débil de seguridad. Como la firma de seguridad cibernética NotSoSecure lo describió, “ECB es el modo de encriptación más simple y popular, pero al mismo tiempo, bastante débil”.

El ataque tendría que ocurrir localmente, en el propio dispositivo de la víctima. Esto se debe a que no es un problema con la red de bloqueo subyacente, a la que se puede acceder desde cualquier lugar. Si tiene éxito, un hacker podría acceder a la criptografía de Tron de la víctima y enviarla a su propia dirección.

Aunque Aumasson reconoció que esto no afecta a todos los poseedores de Tron, sí afecta a los que usan esta cartera en particular. “No es una aplicación de nicho usada por 15 personas”, añadió.

Si Aumasson está en lo cierto, los poseedores de Tron podrían querer tomar medidas de precaución. Sugirió a los poseedores de Tron que consideraran tres posibles opciones a la luz de estos hallazgos. “Animaría a los poseedores de Tron a a) asegurarse de que los desarrolladores de carteras mitiguen el problema en la próxima versión, b) asegurarse de que tienen contraseñas sólidas, c) considerar aplicaciones de carteras alternativas”, dijo Aumasson.

Hemos contactado con TronLink para comentar esta historia, y actualizaremos este artículo si nos llega la respuesta.