Исследовательская группа по безопасности в Кракене нашла способ взломать популярный аппаратный кошелек Trezor, всего за 15 минут с физическим доступом к устройству команда вытащила семена из кошелька.
Работает только если у хакера есть физический доступ к кошельку
По данным Kraken Security Labs, проникновение в кошелек Trezor возможно благодаря использованию дешевого оборудования. Проводя атаку на основе сбоев напряжения, хакеры могут извлекать ключи из кошелька и, следовательно, снимать с него средства.
«Эта атака основана на сбое напряжения для извлечения зашифрованного начального числа. Это первоначальное исследование потребовало некоторых ноу-хау и нескольких сотен долларов оборудования, но мы оцениваем, что мы (или преступники) могли бы массово производить удобное для потребителя устройство, которое можно было бы продать примерно за 75 долларов », — пояснили специалисты.
Для того, чтобы хакер мог осуществить такую атаку, ему нужно подходящее оборудование и знания, чтобы проникнуть в аппаратный кошелек. Тем не менее, когда аппаратный кошелек утерян, если личные ключи, хранящиеся в кошельке, могут быть извлечены, он становится уязвимым для кражи.
Блестящая настройка, которую Kraken использовал для взлома аппаратного кошелька Trezor с биткойнами (источник: kraken.com)
Это можно исправить?
Часть кошелька, которая вызывает эту уязвимость, является аппаратной стороной. Структура чипа, который, по словам Кракена, не предназначен для надежного хранения данных, делает кошелек открытым для атаки скачками напряжения.
Kraken Security Labs сказал:
«Атака использует недостатки, присущие микроконтроллеру, который используется в кошельках Trezor. К сожалению, это означает, что команде Trezor трудно что-либо сделать с этой уязвимостью без модернизации оборудования ».
Для Trezor, помимо интеграции переработанных чипов в новые аппаратные кошельки биткойнов, чтобы предотвратить атаку, компания мало что может сделать с существующими моделями.
Есть способ предотвратить атаку
В обширном сообщении в блоге команда Trezor отметила, что вся атака может быть смягчена, если у пользователя есть надежная фраза-пароль.
Проще говоря, используя функцию парольной фразы на устройстве Trezor, аппаратный кошелек может быть защищен от потенциальных атак сбоев напряжения.
«Важно отметить, что эта атака жизнеспособна только в том случае, если функция парольной фразы не защищает устройство. Сильная фраза полностью уменьшает возможности успешной атаки», объяснила команда Trezor.
Безопасность Биткойна по-прежнему сложна
Эксперты по безопасности рекомендуют инвесторам в криптовалюту хранить свои закрытые ключи с помощью кошельков, не связанных с хранением, и аппаратных кошельков. Таким образом, никто, кроме инвестора, не имеет доступа к фондам.
Но люди, которым не хватает базовых знаний о биткойнах и криптовалютах в целом, могут не знать о потенциальных уязвимостях или последствиях потери личных ключей.
И как таковое, безопасное хранение биткойнов независимо остается сложной задачей для новичков.
Кракен также ранее опубликовал свою успешную попытку взлома устройства KeepKey, другого популярного аппаратного кошелька.
