Logo
Share this article

Компания Unciphered, занимающаяся Криптo , заявляет о возможности физического взлома кошелька Trezor T

Unciphered, компания профессионалов в области кибербезопасности, которая восстанавливает утерянную Криптовалюта, сообщает, что нашла способ физического взлома аппаратного кошелька Trezor T Trezor утверждает, что несколько лет назад она признала наличие похожего вектора атаки.

Unciphered lab technician decasing the Trezor T. (Unciphered)
Unciphered lab technician decasing the Trezor T. (Unciphered)

Компания профессионалов в области кибербезопасности, специализирующаяся на восстановлении утерянной или украденной Криптовалюта , сообщает, что нашла способ взломать популярный аппаратный кошелек Trezor T , как только он окажется у них в руках.

Компания Unciphered сообщила CoinDesk в ходе обширной серии бесед и по электронной почте, что использовала «неустранимую аппаратную уязвимость чипа STM32, которая позволяет нам сбрасывать встроенную флэш-память и одноразово программируемые (OTP) данные».

jwp-player-placeholder
Продолжение Читайте Ниже
Don't miss another story.Subscribe to the The Protocol Newsletter today. See all newsletters

Это все довольно технично, но команда провела лабораторную демонстрацию (и задокументировала ее на видео), которая показала, что ей удалось взломать кошелек Trezor T , предоставленный CoinDesk , и успешно получить нашу начальную фразу и пин-код. Незашифровано ранее взломал EthereumWallet и восстановили заблокированную Криптo, хотя они утверждают на своем сайте, что они «поддерживают каждый кошелек на рынке.”

Trezor сообщил CoinDesk , что у его команды T подробностей о конкретной атаке, проведенной Unciphered, чтобы полностью отреагировать, но отметил, что это было похоже на «атаку понижения версии RDP», которая была публично отмечена как риск три года назад.

Пресс-секретарь Maker аппаратного кошелька заявил, что им неизвестно о каких-либо попытках Unciphered связаться с ними напрямую, хотя, «как сообщалось на нашем сайте,блогВ начале 2020 года атаки с понижением версии RDP требуют физической кражи устройства, а также чрезвычайно сложных технологических знаний и передового оборудования».

Trezor добавил, что «даже с учетом вышесказанного Trezor можно защитить с помощью надежной парольной фразы, которая добавляет еще один уровень безопасности, делающий понижение RDP бесполезным».

Аппаратные кошельки внезапно оказались в центре внимания в результате недавней общественной реакции на конкурирующего Maker Ledger из-за его предлагаемой опциональной функции «опция восстановления», которая возмутила некоторых пользователей, полагавших, что устройство полностью изолировано. Многие опытные эксперты в области Криптo рекомендовали аппаратные кошельки как более безопасное место для хранения активов, чем хранение их на биржах, особенно после прошлогоднего краха биржи FTX Сэма Бэнкмана-Фрида, но последние разоблачения показывают, что эти устройства также T являются полностью защищенными.

Читать дальше: Поставщик Криптo Ledger задерживает услугу восстановления ключей после скандала

Unciphered заявила, что T будет подтверждать или опровергать, будет ли взлом Trezor T считаться понижением уровня RDP, сославшись на «текущие обязательства и соглашения о неразглашении», которые ограничивают детализацию того, «как эта цепочка эксплойтов работает в настоящее время».

«Кроме того, любое Раскрытие информации технической информации подвергнет клиентов Satoshilabs потенциальному риску до тех пор, пока не будут приняты меры по снижению рисков, такие как использование нового чипа, отличного от используемого в настоящее время STM32», — сообщает Unciphered.

Unciphered отметил, что, хотя Trezor знает, что модель Trezor T имеет уязвимость в чипе STM32, компания не предприняла никаких действий для ее устранения с момента первоначальной попытки предать огласке информацию о риске.

«Факт остается фактом: посредством этой статьи они пытаются переложить ответственность за обеспечение безопасности своего устройства на клиента, вместо того чтобы признать, что его устройство в корне небезопасно», — написал Unciphered в электронном письме CoinDesk.

По словам Trezor: «Вопреки заявлениям Unciphered, Trezor уже предпринял значительные шаги для решения этой проблемы, разработавпервый в мире проверяемый и прозрачный элемент безопасностичерез дочернюю компанию Tropic Square».

Альтернативы аппаратным кошелькам

Стоит подчеркнуть, что вектор атаки Unciphered работает только в том случае, если устройство находится в физическом владении хакера.

«Безопасность заключается в том, что угроза часто может исходить изнутри дома», — сказал Ник Федерофф, руководитель отдела маркетинга в Unciphered. «Мы можем быть своими собственными злейшими врагами. Так что это огромная часть».

Когда пользователь настраивает аппаратный кошелек, кошелек генерирует случайный набор из 12 или 24 слов, известный как начальная фраза, которая обеспечивает доступ к активам в кошельке.

В рамках усилий Unciphered по демонстрации своих возможностей, должностные лица компании попросили CoinDesk приобрести новый кошелек Trezor T , настроить его с помощью нашей собственной seed-фразы и записать ее в безопасном месте. Затем мы отправили его через защищенную почтовую опцию в лабораторию Unciphered, где они затем приступили к его взлому (запись некоторые шаги на видео) и в конечном итоге смогли получить нашу начальную фразу и пин-код. Дополнительный шаг привлечения CoinDesk был предложен командой Unciphered как способ обеспечения уверенности в том, что процедура T была поддельной или что устройство T было скомпрометировано предыдущим владельцем.

Устройство продается по цене 219 долларов США на сайте компании.веб-сайт.

Unciphered признал, что не связывался с Trezor, чтобы уведомить их об уязвимости до того, как попытался опубликовать ее в статье на CoinDesk; часто такие «белые» хакеры работают более сговорчиво. «Unciphered не связывался с Trezor ни через нашу программу ответственного Раскрытие информации , ни иным образом», — сказал пресс-секретарь Trezor.

Unciphered сообщили CoinDesk , что они не связывались с Trezor, потому что «наши обязательства перед потребителями, а не перед поставщиками, которые кровно заинтересованы в продаже большего количества продуктов, независимо от того, насколько уязвимыми эти продукты делают клиентов, которые их используют».

Читать дальше: HOT и холодные Криптo : в чем разница?

Margaux Nijkerk

Margaux Nijkerk reports on the Ethereum protocol and L2s. A graduate of Johns Hopkins and Emory universities, she has a masters in International Affairs & Economics. She holds BTC and ETH above CoinDesk's disclosure threshold of $1,000.

CoinDesk News Image

More For You

[Тестовая статья, Быстрые новости] Digital Asset, создатель ориентированного на конфиденциальность блокчейна Canton, привлек $135 млн

Fast News Default Image

[Тестовый текст] Стратегическое привлечение финансирования было возглавлено DRW Venture Capital и Tradeweb Markets.