Compartir este artículo
Un ataque de 'bypass' en la billetera Bitcoin de Coldcard podría engañar a los usuarios para que envíen fondos incorrectos.
La billetera de hardware Bitcoin Coldcard está corrigiendo una falla que podría engañar a los usuarios para que envíen Bitcoin en la red principal cuando querían usar su red de prueba.
La billetera de hardware exclusiva para BitcoinTarjeta fríaha lanzadoun parche de firmware betapor una vulnerabilidad que también afectó a una billetera de hardware de la competencia a principios de este año.
CONTINÚA MÁS ABAJO
Ben Ma, un investigador de seguridad que trabaja para el fabricante de billeteras de hardware Shift Cripto, descubrió que la billetera de hardware Coldcard tiene una falla: un atacante podría engañar a los usuarios de Coldcard para que envíen una moneda real. Bitcointransacción cuando creen que están enviando una transacción de “red de prueba”, o un pago en la red de prueba de Bitcoin, que no es lo mismo que la red principal.
Sigue leyendo: Cómo almacenar tus Bitcoin
Las transacciones de Bitcoin tanto en la red de prueba como en la red principal “tienen exactamente la misma representación de transacción en segundo plano”, escribe Ma. en su puesto Revelando la vulnerabilidad. Un atacante podría generar una transacción de la red principal de Bitcoin para la billetera física, pero simular una transacción de la red de prueba. La transacción de la red principal se presenta como una transacción de la red de prueba en la billetera del usuario, lo que dificulta que los usuarios reconozcan el error.
Ma se enteró de la vulnerabilidad después de unainvestigador seudónimodescubrió el llamado ataque de “derivación de aislamiento” en la billetera de hardware Ledger de fabricación francesa.
A diferencia de Coldcard, Ledger admite muchas monedas, por lo que el ataque de omisión podría funcionar engañando a los usuarios de la billetera para que envíen Bitcoin cuando en realidad quieren enviarlos. Litecoin y Bitcoin Cash, además de la red de prueba BTC.
Vulnerabilidad de la billetera Bitcoin 'bypass': Antecedentes
Cuando se reveló la vulnerabilidad inicial en la billetera Ledger, Rodolfo Novak, fundador de Coinkite y creador de Coldcard, declaró: «Coldcard no admite ninguna moneda basura. Consideramos que esa es la mejor opción», insinuando que su billetera, solo para bitcoin, estaría segura porque la falla (en parte) se debía a que los dispositivos Ledger gestionaban previamente diferentes monedas con la misma clave privada.
Sigue leyendo: El Maker de la billetera Bitcoin Coldcard lanza un "condón USB" extrafuerte
Dado que Coldcard no admite múltiples monedas, en teoría no debería tener este problema. Y no lo tendría si no fuera porque puede ser explotado con direcciones de la red de prueba de Bitcoin .
Si las computadoras de los usuarios están comprometidas (y el dispositivo Coldcard está desbloqueado y conectado a esa computadora), entonces un adversario podría engañar a los usuarios para que envíen Bitcoin reales cuando creen que están enviando Bitcoin de prueba.
El atacante solo tiene que convencer al usuario, por ejemplo, de que 'intente una transacción en la red de prueba' o de que compre una ICO con monedas de la red de prueba (he oído que hubo una [Oferta Inicial de Monedas] similar recientemente), o cualquier otro ataque de ingeniería social para que el usuario realice una transacción en la red de prueba. Tras confirmar la transacción, el atacante recibe la misma cantidad de Bitcoin de la red principal, escribe Ma en la publicación.
Debido a que un atacante podría ejecutar este ataque de forma remota, cumplió con los criterios de Shift Crypto como un problema crítico, lo que desencadenó laAviso legal responsable proceso.
Según la publicación, Ma reveló la vulnerabilidad a Coinkite el 4 de agosto y Novak la reconoció al día siguiente. El 23 de noviembre, Coldcard...lanzó un firmware betapara parchar la vulnerabilidad.
Un representante de Coldcard le dijo a CoinDesk que "a diferencia del ataque a Trezor/Ledger", la versión de Coldcard "no es un ataque realista porque el atacante tendría que convencer a la víctima para que a manoCambiar el dispositivo a la red de prueba. Es poco probable que la gente lo haga.
Además, Coinkite abordó la vulnerabilidaden una entrada de blog, agregando que un atacante habría tenido que Aprende el XPUB de la víctima (la clave pública maestra para su billetera) y el ID de transacción específico para el Bitcoin no gastado al que apuntaban para llevar a cabo el ataque.
Coldcard ahora incluye un mensaje de advertencia cuando un usuario decide cambiar la billetera a la red de prueba (la billetera está configurada en la red principal de manera predeterminada).
ACTUALIZACIÓN (25 de noviembre de 2020, 5:52 UTC):Este artículo se ha actualizado para incluir información adicional de Coldcard.
Más para ti
Lo que debes saber:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Más para ti
El Protocolo: La Testnet Tempo de Stripe Entra en Funcionamiento
También: ZKSync Lite se retirará, actualización de la aplicación Blockstream, AgentFlux de Axelar
Lo que debes saber:
Este artículo aparece en la última edición de El Protocolo, nuestro boletín semanal que explora la tecnología detrás de las criptomonedas, un bloque a la vez. Regístrese aquí para recibirlo en su bandeja de entrada todos los miércoles.
