Forklog
2023-05-25 07:39:53

На YouTube появился ролик со взломом seed-фразы кошелька Trezor T

Стартап в области кибербезопасности Unciphered опубликовал на YouTube видео с демонстрацией успешного взлома популярного аппаратного криптокошелька Trezor T от Satoshi Labs.  Эксперты компании разработали «внутренний эксплойт», который позволил им извлечь прошивку кошелька, и с помощью специализированных графических процессоров взломали seed-фразу устройства. «У нас около 10 графических процессоров, и через некоторое время мы извлекли ключи», — заявил в видео соучредитель Unciphered Эрик Мишо. В компании отметили, что аппаратные механизмы безопасности модели Trezor T теоретически можно обойти, если у хакера есть физический доступ к кошельку. По мнению Мишо, для исправления этого эксплойта в Trezor T потребуется отозвать все выпущенные устройства. Ранее Unciphered демонстрировала аналогичный взлом кошелька производства гонконгской компании OneKey. В Trezor заявили, что найденная экспертами уязвимость, очевидно, является атакой на понижение Read Protection Downgrade (RDP). Она позволяет посредством воздействия на микросхему STM32 получить seed-фразу для восстановления, а затем расшифровать ее PIN-код методом брутфорса. Эту уязвимость еще в октябре 2019 года обнаружили исследователи Kraken Security Labs. Она затронула модели Trezor T и Trezor One.  Технический директор Trezor Томаш Сушанка отметил, что подобные атаки требуют физической кражи устройства, чрезвычайно глубоких технологических знаний и современного оборудования.  «Даже с учетом вышеизложенного, Trezor можно защитить надежной парольной фразой, которая добавляет еще один уровень безопасности, делающий переход на более раннюю версию RDP бесполезным», — добавил он.  Для решения этой проблемы Trezor совместно с дочерней фирмой Tropic Square разработали безопасный микрочип для аппаратных кошельков. Сейчас элемент проходит тестирование. Ранее ForkLog сообщал, что злоумышленники похитили $30 000 в биткоинах через поддельный аппаратный кошелек.

Get Crypto Newsletter
Read the Disclaimer : All content provided herein our website, hyperlinked sites, associated applications, forums, blogs, social media accounts and other platforms (“Site”) is for your general information only, procured from third party sources. We make no warranties of any kind in relation to our content, including but not limited to accuracy and updatedness. No part of the content that we provide constitutes financial advice, legal advice or any other form of advice meant for your specific reliance for any purpose. Any use or reliance on our content is solely at your own risk and discretion. You should conduct your own research, review, analyse and verify our content before relying on them. Trading is a highly risky activity that can lead to major losses, please therefore consult your financial advisor before making any decision. No content on our Site is meant to be a solicitation or offer.