Hechos clave:
Firmar una transacción en Litecoin podría firmar involuntariamente una transacción de Bitcoin.
Aplicaciones maliciosas o intercambios no confiables pueden aprovecharse de la vulnerabilidad.
El investigador de criptomonedas, Monokh, denunció esta semana que Ledger posee una vulnerabilidad que permite el robo de bitcoins y que la empresa prefirió no solucionar. El error está relacionado con el uso de al menos 16 altcoins bifurcadas de la criptomoneda de Satoshi Nakamoto, así como de aplicaciones que funcionan en la red de prueba de Bitcoin.
Monokh describió en su blog personal que se pueden sustraer bitcoins de los monederos Ledger cuando el usuario está ejecutando una transacción de una criptomoneda menos valiosa. Esto es posible con bifurcaciones de Bitcoin que han sido incorporadas en el dispositivo, tales como Litecoin y Dash.
Ledger es un monedero de hardware que permite administrar las llaves y direcciones de distintas criptomonedas. Para asegurar los fondos de los usuarios, el equipo de desarrolladores tiene que idear un dispositivo donde cada aplicación de moneda se encuentra aislada una de la otra. Es decir, se puede tener acceso a direcciones de Ethereum, Bitcoin y Litecoin, pero cuando se abre una las otras se bloquean automáticamente.
De esta manera, los usuarios pueden exportar sus claves, firmar y confirmar transacciones de la criptomoneda que están utilizando en ese momento sin que se expongan sus otros monederos. Sin embargo, en el caso de Bitcoin, ocurre que tanto la clave pública como su funcionabilidad para firmar quedan expuestas desde aplicaciones de altcoins, haciendo posible que un atacante robe fondos de BTC con la misma firma que el usuario utilizó para firmar una transacción en una altcoin.
Esto se debe a la forma en que se diseñó el dispositivo Ledger, donde todas las criptomonedas que se basan en Bitcoin comparten la misma ruta para derivar sus llaves. Debido a ello, se pueden llevar a cabo transacciones y confirmaciones engañosas dentro del dispositivo sin que el usuario se dé cuenta.