Tips
- Un investigador descubrió una potencial falla de seguridad en la Wallet TronLink
- Recomendó que se actualizara la app para mejorar su criptografía... o que los usuarios cambiaran de Wallet.
- Tron ha sido acusado de ser descuidado con su seguridad.
Jean-Phillippe Aumasson, CSO y cofundador de Taurus, una fintech suiza especializada en infraestructura digital segura para criptodivisas y activos digitales, descubrió ayer una potencial vulnerabilidad en la popular wallet de Tron (TRX), TronLink.
La plataforma blockchain de Tron ha sido acusada anteriormente de no tomarse la seguridad muy en serio. A principios de 2018, hubo denuncias de que Tron supuestamente plagió su libro blanco. Esta vez, la supuesta vulnerabilidad se encuentra en el código subyacente de su endosada cartera TronLink, y según Aumasson, no ha sido detectada.
"Son defectos básicos de la criptografía que cualquier auditor competente habría detectado", dijo Aumasson a Decrypt.
Un mnemotécnico es una lista de 12 palabras que pueden ser usadas para convertirse en una llave privada, que controla el acceso a alguna criptomoneda. Aumasson afirma que los mnemónicos de TronLink están mal encriptados.
"Parece que la cartera oficial de Tron utiliza AES-ECB para encriptar el código mnemotécnico de 12 palabras", tweeteó Aumasson.
AES-ECB se refiere al código usado para encriptar la mnemotecnia de 12 palabras. La razón por la que esta es una mala elección, según Aumasson, es que el modo ECB no protege los datos encriptados con éxito. "El modo ECB trata cada bloque de datos de forma independiente, mientras que debería haber alguna correlación entre los bloques para garantizar la forma más alta de seguridad", dijo Aumasson.
El BCE ha sido criticado durante mucho tiempo por múltiples investigadores de seguridad por ser una forma débil de seguridad. Como la firma de seguridad cibernética NotSoSecure lo describió, "El BCE es el modo de encriptación más simple y popular, pero al mismo tiempo, bastante débil".
El ataque tendría que ocurrir localmente, en el propio dispositivo de la víctima. Esto se debe a que no es un problema con la blockchain subyacente, a la que se puede acceder desde cualquier lugar. Si tiene éxito, un hacker podría acceder a los tokens de Tron de la víctima y enviarlos a su propia dirección.
Aunque Aumasson reconoció que esto no afecta a todos los poseedores de Tron, sí afecta a los que utilizan esta cartera en particular. "No es una aplicación de nicho utilizada por 15 personas", añadió.
Si Aumasson está en lo cierto, sería bueno que los poseedores de Tron podrían tomaran algunas medidas de precaución. Sugirió a los poseedores de Tron que consideraran tres posibles opciones a la luz de estos hallazgos. "Animaría a los poseedores de Tron a a) asegurarse de que los desarrolladores de wallets mitiguen el problema en la próxima versión, b) asegurarse de que tienen contraseñas sólidas, c) considerar carteras alternativas", dijo Aumasson.
Nos hemos puesto en contacto con TronLink para comentar esta historia, y actualizaremos este artículo si recibimos alguna respuesta.