Jaxx tiene fallas de seguridad

Cuando me preguntaban sobre alguna billetera que pueda utilizar para guardar ethers, siempre y casi por instinto recomendaba Jaxx Wallet, una billetera multi-asset (sirve para multiples monedas) que tenía una buena reputación dentro de la comunidad, tanto por un diseño limpio y la facilidad de uso bastante buena.

Todo eso se fue al tacho…

El día 10 de junio VxLabs, una empresa dedicada a la construcción de software instalada en Sudáfrica, revela un post en el cual demuestran una vulnerabilidad muy grave en términos de seguridad. En lo extenso del post, demostraron que una persona puede extraer la frase mnemonica en menos de 30 segundos.

¿Qué es la frase mnemonica?

La frase mnemonica es un conjunto de 12 palabras que se utiliza como una medida de seguridad para las copias de respaldo de las billeteras. Algo así como:

flores jamón perro gato canario mirra oro incienso temblor pelo zapato cable

Esta frase también tiene una hash sin sal (unsalted hash) que pueden ser vulneradas con una Tabla Rainbow en sitios como CrackStation.

Esta frase en conjunto se guarda dentro de la memoria de la billetera, la cual es accesible. Las vulnerabilidades que mencionamos se encuentran en Jaxx Chrome extension v1.2.17 y Jaxx Linux desktop app 1.2.13. Según el CTO de Jaxx, el modelo de seguridad de la misma no se encuentra en peligro y están satisfechos con el mismo.

Traducción: no repararán esta vulnerabilidad.

Pasos a seguir

Exodus es la opción que ahora se ve encaminada ahora pero contrario a las opciones que se presentan, recomendaré Mist pues he usado versiones anteriores a la misma. No se recomienda en todo caso seguir usando Jaxx.


Update #1: La recuperación y la resolución fue completada. Puedes usar Jaxx nuevamente, aunque muchos usuarios quedaron insatisfechos con la falta de resolución inicial de la empresa.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.