Molti utenti avranno ricevuto nelle ultime ore una mail in merito all’aggiornamento del proprio hardware wallet che si è aggiornato alla versione v1.9.3 per il modello Trezor One e alla versione v2.3.3 per il modello Model T.
Ebbene questi aggiornamenti contengono una patch ad un attacco della serie “man in the middle” che permetteva di recuperare la passphrase dell’hardware wallet e quindi rubare tutti i fondi.
La caratteristica di strumenti come Trezor è che creano un wallet e tutti gli indirizzi derivati da esso partono dalla stessa frase seed, quindi basta inserire questa per poter accedere a tutti i wallet.
In cosa consiste la falla su Trezor
Questo attacco è stato spiegato dal team che ha scoperto la falla e l’ha riportata al team di Trezor, ottenendo una ricompensa per il bounty.
È stato illustrato come una volta venga inserita la passphrase non c’è un controllo ulteriore se effettivamente se sia l’utente o meno a confermare l’effettivo inserimento.
Ed è qui che, modificando un qualsiasi wallet, possiamo sfruttare un attacco del tipo “man in the middle” e quindi, una volta ottenuta la passphrase, i criminali possono muovere i fondi della vittima dato che non c’è nessuna conferma o avviso da parte dell’hardware.
Inoltre, la falla si può sfruttare per mettere fuori lo stesso utente e quindi chiedere un riscatto per poter sbloccare l’hardware wallet.
Ovviamente c’è anche da tenere a mente la complessità della passphrase utilizzata ed è buona norma utilizzare diverse lettere, numeri e caratteri speciali oppure una serie di parole di una lista, che rientra sotto la dicitura di BIP-039.
Ricordiamo che questa è l’ennesima vulnerabilità che questo wallet ha dovuto risolvere in pochi mesi, dimostrando che non sempre un hardware wallet sia la scelta giusta o che comunque bisogna sempre essere vigili sul tipo di wallet che si usa.