Trezor(s) T falsa(s) vendida(s) … y su cripto robada … (en Rusia que se sepa)

[DdmrDdmr]

No he visto por ahora demasiados detalles, y quedan incógnitas por resolver relativas al caso concreto, el vendedor implicado, y el número de casos impactados, pero parece que unos hackers lograron colar dispositivos Trezor manipulados en el mercado ruso, para luego hacerse con los fondos protegidos.

Los artículos abajo referenciados describen que la Trezor T se compró en un “proveedor de confianza” a través de un website conocido de anuncios clasificados. Sin que se indique el portal ni el proveedor, me imagino algo del estilo de eBay, comprado a un proveedor con muchas ventas en general de todo tipo de productos, y cierta reputación a través de las valoraciones. Que este proveedor fuese cómplice del caso tampoco se conoce.

La Trezor T no tenía signos de haber sido manipulada (que lo fue), y funcionaba como si nada, pero tenía cambios tanto en el hardware como en el firmware.

Izquierda -> original. Derecha -> manipulado

El manipulado es complejo, reemplazando componentes, y cargando un firmware que evita aspectos como la verificación de la originalidad del firmware, reemplazando la semilla aleatoria por una preconcebida. El dispositivo falso incluso permite la creación de una passphrase, pero (hábilmente) la delimita a un solo carácter.

Desde Trezor indican que su software, Trezor One, avisa si se está usando un firmware que no es el oficial, pero no se detalla más de si este paso fallaba con el firmware manipulado, o bien si el usuario no usaba el software y optó por otro de su elección (ej/ Electrum – sólo para bitcoin por eso).

El caso parece ser de los ataques más complejos que recuerde, y desconocemos su alcance e impacto. Intuyo que el alcance es muy bajo, dado que el proceso de cambiar componentes sobre el dispositivo no es industrial. A su vez, cambiar el firmware no debe ser moco de pavo precisamente.

Ver:
https://cointelegraph.com/news/trusted-seller-vends-fake-trezor-wallets-stealing-crypto-kaspersky
https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/

[1713983970]

1713983970

[famososMuertos]

Bueno, no se si recuerdas el caso del repuesto para algo electrónico que solo requería cambiar o actualizar el firmware, pero la compañía no le permitía esto y el soporte fue compré la tarjeta completa que al caso con agregar unos euros ( recordando mientras escribo) prácticamente era mejor adquirir un producto nuevo.

Pero este tipo amparándose en una ley existente en su derecho de acceso al soporte técnico, consiguió manipular el firmware y solucionar el problema sin gastar más allá del tiempo usado.

A qué con eso, bueno, entramos en un campo que dado al acceso de información y hardware disponible tanto para usar como herramienta en el objetivo como a la práctica, solo se requiere de habilidad y "maldad".

El culillo aquí es saber que lote o serie del producto está vulnerable, no he leído más allá de tu OP, pero que siendo trezor estaría resolviendo y tranquilizando con algún comentario técnico que soporte que el problema no se extiende más allá de lo que quizás significa.

[Hispo]

Solo en otra ocasión he visto un ataque similar y así de complejo, creo que fue por allá en el año 2020. Fue una persona de los Estados Unidos que recibió un Ledger alternado de forma similar, tanto el hardware como el firmware. En ese caso, no cayó, porque el empaquetamiento estaba algo fuera de lugar.

Siempre he tenido la impresión de que este tipo de ataques es el equivalente a el spear fishing en la vida real. El atacante necesita saber que sus esfuerzos podrían verse retribuidos con fondos de una víctima lo suficientemente rica. En caso contrario, imagínate hacer todo eso solo para que la suma total depositada sean 8 Dogecoins.  

Cómo siempre gracias por la noticia, DdmrDdmr. Un gusto el aún verte por aquí.  

[Cuenta Alternativa]

Yo recientemente compré un Trezor, y viendo cosas como ésta, menos mal que lo hice del sitio oficial, aunque nunca puedes estar seguro al 100% de si era un sitio de phishing o algo pero casi al 100%.

El caso parece ser de los ataques más complejos que recuerde, y desconocemos su alcance e impacto.

Este tipo de casos irá al alza en la medida en que la gente adopte las criptomonedas igual que se han adoptado los móviles. En el caso del competidor Ledger, hay una polémica porque prevé un sistema de multicustodia de llaves privadas:

If anyone is wondering how can an entity destroy the concept of their own products - in this case by exporting the seed phrase to outside entities, even if it is encrypted - then wait no more because Ledger will launch their new service, Ledger Recover[1]:

Ledger is preparing to launch a new service called Ledger Recover that splits a wallet recovery phrase—basically, a human-readable form of the private key—into three encrypted shards and distributes them to three custodians: Ledger, crypto custody firm Coincover, and code escrow company EscrowTech.  If somebody loses their recovery phrase, two of the three shards can be combined—pending an ID check—to regain access to the locked funds.

Seguro que en estos mismos momentos ya hay criminales pensando cómo hacerse con esas llaves.

[Porfirii]

Bueno, la solución en la que parece que está trabajando Ledger tampoco parece ser tan tan mala, si obviamos que atenta contra los mismos pilares de la filosofía Bitcoinera de custodiar las propias claves sin necesidad de terceros. Como alternativa a una pérdida de claves, a más de uno se le abrirá el cielo sabiendo que sus monedas no se quedarán en el Limbo para siempre, pero personalmente a mí tampoco me convence.

En cuanto al tema original del hilo, la Trezor T falsa que han estado vendiendo en Rusia, ya hace tiempo que vimos algún caso parecido. Demos gracias que requiere una capacidad técnica y logística que no está al alcance de cualquiera, y que siendo mínimamente escrupuloso en a quién y cómo compramos, es bastante fácil de evitar que nos den gato por liebre. Gracias a que se requiere habilidad, como comentaba fM, y que para este tipo de ataque bastante técnico no basta con la "maldad".

[Don Pedro Dinero]

Como comenté en otro hilo al respecto, yo recientemente compré un Trezor porque se me murió el Ledger, y justo ayer leyendo sobre estos temas aprendí que Trezor tampoco es seguro pues alguien que tuviera acceso al USB físico podría extraer las semillas y por eso en las opciones está por defecto que pongas una frase de contraseña.



¿Alguien sabe cómo se puede quitar esa mierda? En qué mala hora compré un Trezor. Espero que se pueda quitar, si no, me pueden entrar a robar y agredirme pensando que tengo fondos guardados bajo la frase de contraseña cuando en realidad no tengo nada ahí.

[Hispo]

Como comenté en otro hilo al respecto, yo recientemente compré un Trezor porque se me murió el Ledger, y justo ayer leyendo sobre estos temas aprendí que Trezor tampoco es seguro pues alguien que tuviera acceso al USB físico podría extraer las semillas y por eso en las opciones está por defecto que pongas una frase de contraseña.



¿Alguien sabe cómo se puede quitar esa mierda? En qué mala hora compré un Trezor. Espero que se pueda quitar, si no, me pueden entrar a robar y agredirme pensando que tengo fondos guardados bajo la frase de contraseña cuando en realidad no tengo nada ahí.

No entiendo muy bien el planteamiento del problema, amigo.
Trezor te da la opción de usar una wallet estándar (sin passphrase) y también te da la opción de usar las passphrases que quieras. Ahora bien, si te refieres a desactivar el display de las opciones para que no salga la opción de las wallets ocultas. Creo que no es posible hacerlo en la versión actual. Si realmente es un problema para ti, puedes usar el Trezor con alguna otra wallet de Bitcoin compatible, como electrum o sparrow. Espero te sirva de algo.

[Porfirii]

Yo tampoco acabo de entender el planteamiento. ¿Riesgo por qué, por la contraseña? pero de otra manera podrían pedirte directamente la semilla por la fuerza.

Lo que yo veo aquí es como en todas las wallets de escritorio que conozco: al configurarla por primera vez, te pregunta si quieres añadir una contraseña (opcional). Yo al principio siempre le ponía, pero últimamente me he vuelto más vaguete (creo cuentas con pocos satoshis y de ahí que tampoco me preocupe demasiado la seguridad). Claro que si alguien tuviera acceso a mi ordenador, simplemente con abrir la wallet ya tendría acceso a los fondos, y lo mismo con tu Trezor.

Entonces ¿cuál es el problema? Ledger si no recuerdo mal exigía crear una contraseña, ¿por eso lo de que en buena hora compraste un Trezor?

[Cuenta Alternativa]

No entiendo muy bien el planteamiento del problema, amigo.
Trezor te da la opción de usar una wallet estándar (sin passphrase) y también te da la opción de usar las passphrases que quieras. Ahora bien, si te refieres a desactivar el display de las opciones para que no salga la opción de las wallets ocultas. Creo que no es posible hacerlo en la versión actual. Si realmente es un problema para ti, puedes usar el Trezor con alguna otra wallet de Bitcoin compatible, como electrum o sparrow. Espero te sirva de algo.

Yo tampoco acabo de entender el planteamiento. ¿Riesgo por qué, por la contraseña? pero de otra manera podrían pedirte directamente la semilla por la fuerza.

Muy fácil, entran a robarme y me piden la contraseña. Yo les digo que no uso contraseña y que todo lo que tengo lo pueden ver en el wallet sin contraseña. No se lo creen. Empiezan a pegarme. Insisto en que no tengo fondos protegidos con contraseña, pero no se lo creen y siguen pegándome. A ver cómo demuestro yo que no tengo fondos ahí.

Vosotros no veis el problema pero yo veo una gran cagada. Ellos me pegan y yo les doy acceso a mi hardware wallet, les doy incluso mis semillas apuntadas en un papel, pero ellos no se creen que no tenga fondos protegidos por una contraseña. Y no, Ledger no te obliga a poner una contraseña y no aparece en las opciones de inicio sin poder quitar.

Si realmente es un problema para ti, puedes usar el Trezor con alguna otra wallet de Bitcoin compatible, como electrum o sparrow. Espero te sirva de algo.

Eso no sirve con unos asaltantes que sepan de este mundo, pues pueden sospechar que tengo fondos protegidos por contraseña y tardan 1 minuto en bajarse la App de Trezor desde mi ordenador.

[darxiaomi]

Que increible como uno no se puede distraer ni medio segundo, me imagino la gente que compro esas trezors fakes, pensando que estaban super seguros y encontrarse con esto.

Para colmo el panorama en el competidor tampoco es bueno.

Como siempre es preferible ser desconfiado, pero el problema es que ya no nos queda en quien confiar aunque sea un poco.

Pregunta aparte.

Dispone Trezor en su pagina una validacion del dispositivo? Digamos que si uno compra uno y uno carga X numero en la pagina nos indique que es veridico.

[Don Pedro Dinero]

Para colmo el panorama en el competidor tampoco es bueno.

Viendo los hilos que ha habido al respecto de la reciente polémica de Ledger, ya ninguno de los dos de los que fueron paradigmas de la fiabilidad, Ledger y Trezor, son fiables. A día de hoy hay más opciones, pero más minoritarias, sin tanto historial o reputación, por decirlo así. En su momento me recomendaron Passport, pero me acabé decidiendo por Trezor por la diferencia de precio, de unos $150 o $200 con el Trezor One que compré. Ahora que si llego a saber entonces lo que se ahora, hubiera comprado el Passport.

[famososMuertos]

D P D, en serio te entiendo, pero no pude evitar pensar en la situación añadida, lejana pero relacionada, los sistemas de seguridad electrónicos, alarmas y uno de los problemas con los sistemas de alarmas por claves, es que quien te va a robar, "a veces", no todas, esta muy bien preparado técnicamente o quizás solo esta muy bien informado y creo que por ahí van los tiros (que la situación dado como lo planteas no debería usar, tiros) entonces, he ahí la situación planteada, se confunde o se transforma en vándalo, con tal de conseguir la información "real" aunque le están diciendo la verdad, pero el tiene la duda, ya que sabe que existe otra(s) clave(s).

Las alarmas que envían señales de alertas pasivas, lo pueden hacer al introducir ciertas claves, entonces en situaciones de secuestro alguien puede usar esa clave, pero existe la posibilidad que su vida peligre si el ladrón sabe esta situación, que en tiempos que corren, es posible que algún pillo entre en la categoría de no investigar sobre su profesión(¡?).

Yo recomiendo, dada la situación que vivimos, OP, papel y lápiz.

[darxiaomi]

Como diria un viejo refran.

"A veces la mejor solución es la mas sencilla".

Me refiero a la solucion del papel lapiz.

Para colmo el panorama en el competidor tampoco es bueno.

Viendo los hilos que ha habido al respecto de la reciente polémica de Ledger, ya ninguno de los dos de los que fueron paradigmas de la fiabilidad, Ledger y Trezor, son fiables. A día de hoy hay más opciones, pero más minoritarias, sin tanto historial o reputación, por decirlo así. En su momento me recomendaron Passport, pero me acabé decidiendo por Trezor por la diferencia de precio, de unos $150 o $200 con el Trezor One que compré. Ahora que si llego a saber entonces lo que se ahora, hubiera comprado el Passport.

El problema con esto es que (y parece que hay gente en el norte que no lo entiende) es que la confianza cuesta muchisimo construirla y segundos destruirla, y de aca la pregunta habiendo "fallado" los dos confiables, porque ahora hemos de confiar en cualquier otro? y ese es EL problema real y peligroso de estos mocos de T y L.

[Cuenta Alternativa]

El problema con esto es que (y parece que hay gente en el norte que no lo entiende) es que la confianza cuesta muchisimo construirla y segundos destruirla, y de aca la pregunta habiendo "fallado" los dos confiables, porque ahora hemos de confiar en cualquier otro? y ese es EL problema real y peligroso de estos mocos de T y L.

Si no hemos de confiar en otro solo queda hacerte un monedero de papel, cosa que está al alcance de pocos. O lo más práctico, no tener mucho en bitcoin, y además dividido: la parte más grande en un HW del que menos desconfíes, y otra u otras puede ser en un monedero del móvil, en un casino o en un exchange. Eso de tener todo tu patrimonio en un USB stick y que te pueda desaparecer en un momento a mi no me va a pasar.

[Hispo]

No entiendo muy bien el planteamiento del problema, amigo.
Trezor te da la opción de usar una wallet estándar (sin passphrase) y también te da la opción de usar las passphrases que quieras. Ahora bien, si te refieres a desactivar el display de las opciones para que no salga la opción de las wallets ocultas. Creo que no es posible hacerlo en la versión actual. Si realmente es un problema para ti, puedes usar el Trezor con alguna otra wallet de Bitcoin compatible, como electrum o sparrow. Espero te sirva de algo.

Yo tampoco acabo de entender el planteamiento. ¿Riesgo por qué, por la contraseña? pero de otra manera podrían pedirte directamente la semilla por la fuerza.

Muy fácil, entran a robarme y me piden la contraseña. Yo les digo que no uso contraseña y que todo lo que tengo lo pueden ver en el wallet sin contraseña. No se lo creen. Empiezan a pegarme. Insisto en que no tengo fondos protegidos con contraseña, pero no se lo creen y siguen pegándome. A ver cómo demuestro yo que no tengo fondos ahí.

Vosotros no veis el problema pero yo veo una gran cagada. Ellos me pegan y yo les doy acceso a mi hardware wallet, les doy incluso mis semillas apuntadas en un papel, pero ellos no se creen que no tenga fondos protegidos por una contraseña. Y no, Ledger no te obliga a poner una contraseña y no aparece en las opciones de inicio sin poder quitar.

Si realmente es un problema para ti, puedes usar el Trezor con alguna otra wallet de Bitcoin compatible, como electrum o sparrow. Espero te sirva de algo.

Eso no sirve con unos asaltantes que sepan de este mundo, pues pueden sospechar que tengo fondos protegidos por contraseña y tardan 1 minuto en bajarse la App de Trezor desde mi ordenador.

Entiendo y tienes razón con esa preocupación sobre un ataque físico como el que describes, supongo que Trezor no se preocupo de un ataque de esa forma y penso que sería suficiente el proteger la semilla con passphrase en caso de una filtración digital de la misma. En ese caso una buena Passphrase si tendría sentido, pero realmente el software no hace un favor en el preguntar de forma explícita sobre la passphrase al usuario.

Quizá debería enviar un correo a los desarrolladores a ver si se les ocurre usar un mecanismo más discreto para habilitar la pass. 

Con esto y las noticias de Ledger haciendo respaldos de semillas en la nube, cads vez dan más ganas de comprar una laptop vieja y sin acceso a internet, para hacer semillas frías.

[Don Pedro Dinero]

Entiendo y tienes razón con esa preocupación sobre un ataque físico como el que describes, supongo que Trezor no se preocupo de un ataque de esa forma y penso que sería suficiente el proteger la semilla con passphrase en caso de una filtración digital de la misma. En ese caso una buena Passphrase si tendría sentido, pero realmente el software no hace un favor en el preguntar de forma explícita sobre la passphrase al usuario.

Es que es al revés, según leí en el Norte. Trezor pone eso desde que se descubrió una vulnerabilidad por la cual alguien que tuviera acceso físicamente a tu HW, podría extraer las semillas. Es un fallo que no han podido resolver y supongo que sirve para si entran en tu casa cuando tú no estás y te roban el HW. Ahí sí que sirve tenerlo protegido con una contraseña.

El caso es que ni Ledger ni Trezor nos dan esa sensación de seguridad que daban hace unos años, aunque sigan siendo bastante seguros.

[Artemis3]

Como diria un viejo refran.

"A veces la mejor solución es la mas sencilla".

Me refiero a la solucion del papel lapiz.

La mejor hardware wallet

De todos modos siempre te van a pedir hacerlo, incluso comprando estas.

Y como ya lo notaron no duran muchos años así que no son para ahorros, es solo para mejorar la seguridad del día día. Mas para una hot wallet que es lo opuesto a lo que algunos piensan.

[Hispo]

Entiendo y tienes razón con esa preocupación sobre un ataque físico como el que describes, supongo que Trezor no se preocupo de un ataque de esa forma y penso que sería suficiente el proteger la semilla con passphrase en caso de una filtración digital de la misma. En ese caso una buena Passphrase si tendría sentido, pero realmente el software no hace un favor en el preguntar de forma explícita sobre la passphrase al usuario.

Es que es al revés, según leí en el Norte. Trezor pone eso desde que se descubrió una vulnerabilidad por la cual alguien que tuviera acceso físicamente a tu HW, podría extraer las semillas. Es un fallo que no han podido resolver y supongo que sirve para si entran en tu casa cuando tú no estás y te roban el HW. Ahí sí que sirve tenerlo protegido con una contraseña.

El caso es que ni Ledger ni Trezor nos dan esa sensación de seguridad que daban hace unos años, aunque sigan siendo bastante seguros.

Es correcto lo del fallo al que haces referencia. Fue descubierto por Kraken y hecho público hace ya un par de años,  si mi memoria no me falla.

Trezor en ese momento hizo enfasis en qué la mayoría de los holders buscan proteccion contra amenazas y robos remotos e instó a las personas a usar un passphrase, la cosa es que ellos no pueden resolver el tema del ataque físico porque es cuestión de hardware y obviamente el hardware no se cambia con descargar un parche.

Otra razón más por la que estoy esperando a ver qué pasa con la siguiente generación de billeteras Trezor. Aunque ya muchos del Norte están descontentos con ambas marcas, Trezor y Ledger.