ru
Назад к списку

На YouTube показали, как взломать seed-фразу кошелька Trezor T

source-logo  cryptocurrency.tech 25 Май 2023 07:46, UTC

Стартап в области кибербезопасности Unciphered опубликовал на YouTube видео с демонстрацией успешного взлома популярного аппаратного криптокошелька Trezor T от Satoshi Labs.

Эксперты компании разработали «внутренний эксплойт», который позволил им извлечь прошивку кошелька, и с помощью специализированных графических процессоров взломали seed-фразу устройства.

«У нас около 10 графических процессоров, и через некоторое время мы извлекли ключи», — заявил в видео соучредитель Unciphered Эрик Мишо.

В компании отметили, что аппаратные механизмы безопасности модели Trezor T теоретически можно обойти, если у хакера есть физический доступ к кошельку. По мнению Мишо, для исправления этого эксплойта в Trezor T потребуется отозвать все выпущенные устройства.

Ранее Unciphered демонстрировала аналогичный взлом кошелька производства гонконгской компании OneKey.

В Trezor заявили, что найденная экспертами уязвимость, очевидно, является атакой на понижение Read Protection Downgrade (RDP). Она позволяет посредством воздействия на микросхему STM32 получить seed-фразу для восстановления, а затем расшифровать ее PIN-код методом брутфорса.

Эту уязвимость еще в октябре 2019 года обнаружили исследователи Kraken Security Labs. Она затронула модели Trezor T и Trezor One.

Технический директор Trezor Томаш Сушанка отметил, что подобные атаки требуют физической кражи устройства, чрезвычайно грубоких технологических знаний и современного оборудования.

«Даже с учетом вышеизложенного, Trezor можно защитить надежной парольной фразой, которая добавляет еще один уровень безопасности, делающий переход на более раннюю версию RDP бесполезным», — добавил он.

Для решения этой проблемы Trezor совместно с дочерней фирмой Tropic Square разработали безопасный микрочип для аппаратных кошельков. Сейчас элемент проходит тестирование.

cryptocurrency.tech