Эксперты Kraken продемонстрировали успешную атаку на аппаратный кошелёк Trezor
Эксперты лаборатории безопасности биржи криптовалют Kraken показали метод извлечения и взлома seed-фраз из аппаратных крипто-кошельков Trezor One и Trezor Model T. Для этого требуется 15 минут физического доступа к устройству и прибор, возможную стоимость которого на рынке авторы оценивают в $75.
Атака возможна из-за уязвимостей, присущих используемому в кошельках Trezor микроконтроллеру. «К сожалению, это означает, что команде Trezor будет сложно что-либо сделать с этой уязвимостью без переработки оборудования», – добавляют эксперты.
Пока уязвимость не будет устранена, они рекомендуют пользователям не предоставлять физический доступ к своим устройствам третьим лицам, так как это может привести к потере всех хранящихся в них криптовалют. Кроме того, им следует активировать кодовую фразу по схеме BIP39 в клиенте Trezor. Авторы отмечают, что это может несколько затруднить использование кошелька, но кодовая фраза не хранится в нём и потому защитит от описываемой атаки.
Ранее Kraken уже описывали атаку на кошелёк KeepKey. В своей последней публикации они отмечают, что атака на Trezor очень похожа на первую – во всех эти устройствах используется одно и то же семейство чипов. Как и в случае с KeepKey, атака на Trezor осуществляется путём «сбоя напряжения» в чипе, что открывает возможность для извлечения seed-фразы. Взлом PIN-кода, используемого для защиты этой фразы, по словам экспертов, не представляет никаких проблем и осуществляется методом перебора.
Представители Trezor ещё в марте 2019 года комментировали одну из вариаций такой атаки. Тогда они признали наличие уязвимостей, но обратили внимание на сложность осуществления таких атак на практике и рекомендовали пользователям устанавливать кодовые фразы для полного пресечения возможности несанкционированного доступа.
По мнению Kraken, используемые в этих кошельках чипы изначально не предназначены для хранения секретной информации и не должны быть единственным средством защиты криптовалютных активов для пользователя.
«Мы рады, что лаборатория безопасности Kraken жертвует свои ресурсы на повышение безопасности во всей экосистеме биткоина. Мы приветствуем подобный вид ответственного разглашения информации и сотрудничества», – заявил технический директор выпускающей Trezor компании SatoshiLabs Павол Руснак.
В Kraken отмечают, что, хотя подобные эксперименты с кошельками Trezor проводились до них, они первыми публикуют полные технические детали этой атаки, которые могут быть интересны специалистам.
- Крупные держатели Ethereum переместили $357 млн всего за несколько минут - 14.03.2023
- Биткоин и эфир прибавляют на фоне активизации азиатских и европейских трейдеров - 14.03.2023
- Glassnode выпустили индикатор, определяющий пики и дно биткоина - 13.03.2023
- Нигерия задействует технологию блокчейн в модернизации банковского сектора - 13.03.2023
- Гендиректор Messari призывает инвесторов покупать биткоины - 13.03.2023