Компания Unciphered, занимающаяся Криптo , заявляет о возможности физического взлома кошелька Trezor T

Компания профессионалов в области кибербезопасности, специализирующаяся на восстановлении утерянной или украденной Криптовалюта , сообщает, что нашла способ взломать популярный аппаратный кошелек Trezor T , как только он окажется у них в руках.

Компания Unciphered сообщила CoinDesk в ходе обширной серии бесед и по электронной почте, что использовала «неустранимую аппаратную уязвимость чипа STM32, которая позволяет нам сбрасывать встроенную флэш-память и одноразово программируемые (OTP) данные».

Это все довольно технично, но команда провела лабораторную демонстрацию (и задокументировала ее на видео), которая показала, что ей удалось взломать кошелек Trezor T , предоставленный CoinDesk , и успешно получить нашу начальную фразу и пин-код. Незашифровано ранее взломал EthereumWallet и восстановили заблокированную Криптo, хотя они утверждают на своем сайте, что они «поддерживают каждый кошелек на рынке.”

Trezor сообщил CoinDesk , что у его команды T подробностей о конкретной атаке, проведенной Unciphered, чтобы полностью отреагировать, но отметил, что это было похоже на «атаку понижения версии RDP», которая была публично отмечена как риск три года назад.

Пресс-секретарь Maker аппаратного кошелька заявил, что им неизвестно о каких-либо попытках Unciphered связаться с ними напрямую, хотя, «как сообщалось на нашем сайте,блогВ начале 2020 года атаки с понижением версии RDP требуют физической кражи устройства, а также чрезвычайно сложных технологических знаний и передового оборудования».

Trezor добавил, что «даже с учетом вышесказанного Trezor можно защитить с помощью надежной парольной фразы, которая добавляет еще один уровень безопасности, делающий понижение RDP бесполезным».

Аппаратные кошельки внезапно оказались в центре внимания в результате недавней общественной реакции на конкурирующего Maker Ledger из-за его предлагаемой опциональной функции «опция восстановления», которая возмутила некоторых пользователей, полагавших, что устройство полностью изолировано. Многие опытные эксперты в области Криптo рекомендовали аппаратные кошельки как более безопасное место для хранения активов, чем хранение их на биржах, особенно после прошлогоднего краха биржи FTX Сэма Бэнкмана-Фрида, но последние разоблачения показывают, что эти устройства также T являются полностью защищенными.

Читать дальше: Поставщик Криптo Ledger задерживает услугу восстановления ключей после скандала

Unciphered заявила, что T будет подтверждать или опровергать, будет ли взлом Trezor T считаться понижением уровня RDP, сославшись на «текущие обязательства и соглашения о неразглашении», которые ограничивают детализацию того, «как эта цепочка эксплойтов работает в настоящее время».

«Кроме того, любое Раскрытие информации технической информации подвергнет клиентов Satoshilabs потенциальному риску до тех пор, пока не будут приняты меры по снижению рисков, такие как использование нового чипа, отличного от используемого в настоящее время STM32», — сообщает Unciphered.

Unciphered отметил, что, хотя Trezor знает, что модель Trezor T имеет уязвимость в чипе STM32, компания не предприняла никаких действий для ее устранения с момента первоначальной попытки предать огласке информацию о риске.

«Факт остается фактом: посредством этой статьи они пытаются переложить ответственность за обеспечение безопасности своего устройства на клиента, вместо того чтобы признать, что его устройство в корне небезопасно», — написал Unciphered в электронном письме CoinDesk.

По словам Trezor: «Вопреки заявлениям Unciphered, Trezor уже предпринял значительные шаги для решения этой проблемы, разработавпервый в мире проверяемый и прозрачный элемент безопасностичерез дочернюю компанию Tropic Square».

Альтернативы аппаратным кошелькам

Стоит подчеркнуть, что вектор атаки Unciphered работает только в том случае, если устройство находится в физическом владении хакера.

«Безопасность заключается в том, что угроза часто может исходить изнутри дома», — сказал Ник Федерофф, руководитель отдела маркетинга в Unciphered. «Мы можем быть своими собственными злейшими врагами. Так что это огромная часть».

Когда пользователь настраивает аппаратный кошелек, кошелек генерирует случайный набор из 12 или 24 слов, известный как начальная фраза, которая обеспечивает доступ к активам в кошельке.

В рамках усилий Unciphered по демонстрации своих возможностей, должностные лица компании попросили CoinDesk приобрести новый кошелек Trezor T , настроить его с помощью нашей собственной seed-фразы и записать ее в безопасном месте. Затем мы отправили его через защищенную почтовую опцию в лабораторию Unciphered, где они затем приступили к его взлому (запись некоторые шаги на видео) и в конечном итоге смогли получить нашу начальную фразу и пин-код. Дополнительный шаг привлечения CoinDesk был предложен командой Unciphered как способ обеспечения уверенности в том, что процедура T была поддельной или что устройство T было скомпрометировано предыдущим владельцем.

Устройство продается по цене 219 долларов США на сайте компании.веб-сайт.

Unciphered признал, что не связывался с Trezor, чтобы уведомить их об уязвимости до того, как попытался опубликовать ее в статье на CoinDesk; часто такие «белые» хакеры работают более сговорчиво. «Unciphered не связывался с Trezor ни через нашу программу ответственного Раскрытие информации , ни иным образом», — сказал пресс-секретарь Trezor.

Unciphered сообщили CoinDesk , что они не связывались с Trezor, потому что «наши обязательства перед потребителями, а не перед поставщиками, которые кровно заинтересованы в продаже большего количества продуктов, независимо от того, насколько уязвимыми эти продукты делают клиентов, которые их используют».

Читать дальше: HOT и холодные Криптo : в чем разница?