Компания по кибербезопасности утверждает, что взломала аппаратный криптокошелёк Trezor T
Компания Unciphered, специализирующаяся на кибербезопасности, утверждает, что ей удалось взломать популярный аппаратный криптокошелек модели Trezor T производства Satoshi Labs.
Речь идёт не об удаленном программном взломе – специалистам пришлось вскрыть устройство и подключиться к его железу напрямую. Видео процесса компания выложила на YouTube.
На кадрах видно, как после физических манипуляций с Trezor T, специалисты смогли извлечь пин-код и seed-фразу устройства, с помощью которой можно восстановить кошелёк и получить доступ ко всем средствам, хранящихся там. Для взлома эксперты компании разработали «внутренний эксплойт», который позволил им извлечь прошивку кошелька, и с помощью специализированных графических процессоров осуществить взлом.
«У нас около 10 графических процессоров, и через некоторое время мы извлекли ключи», — заявил в видео соучредитель Unciphered Эрик Мишо.
В компании отметили, что аппаратные механизмы безопасности модели Trezor T теоретически можно обойти, если у хакера есть физический доступ к кошельку. По мнению Мишо, для исправления этого эксплойта в Trezor T потребуется отозвать все выпущенные устройства.
Это не первый случай, когда Unciphered удалось извлечь секретную фразу восстановления из аппаратного кошелька. В феврале компания продемонстрировала аналогичный взлом кошелька, изготовленного гонконгской компанией OneKey.
Аппаратные кошельки, которые хранят приватные ключи в автономном режиме и предназначены для повышенной защиты криптоактивов, и обычно считаются очень безопасными. Однако компания Unciphered заявила, что аппаратные механизмы безопасности модели Trezor T теоретически можно обойти, если хакер будет иметь в своем распоряжении само устрйоство.
Ответ Trezor
В Trezor заявили, что найденная экспертами уязвимость, очевидно, является атакой на понижение Read Protection Downgrade (RDP). Она позволяет посредством воздействия на микросхему STM32 получить seed-фразу для восстановления, а затем расшифровать ее PIN-код методом брутфорса.
«Судя по всему, речь идет об уязвимости под названием “атака на понижение” RDP, и, как сообщалось в нашем блоге в начале 2020 года, RDP-атаки требуют физической кражи устройства и чрезвычайно сложных технологических знаний и современного оборудования», — сказал главный технический директор Trezor Томаш Сушанка.
«Даже при наличии вышеперечисленного, Trezor может быть защищен надежной дополнительной парольной фразой, которая добавляет еще один уровень безопасности, делающий RDP-атаку бессмысленной», — добавил он.
Компания Trezor добавила, что предприняла значительные шаги для решения этой проблемы в будущем, разработав новый элемент безопасности для аппаратных кошельков совместно с компанией Tropic Square.
В феврале сообщалось, что Tropic Square, стартап из Чехии, поддерживаемый SatoshiLabs, компанией, создавшей аппаратные криптовалютные кошельки Trezor, тестирует свой новый чип TROPIC01, который предназначен для генерации криптографических ключей, шифрования, подписи и аутентификации пользователей с помощью методов цифровой идентификации. Tropic Square намерены с помощью этого чипа с открытым исходным кодом коренным образом улучшить уровень безопасности аппаратного обеспечения для всей электронной промышленности.
Напомним, что на прошлой неделе другой разработчик и производитель одних из самых популярных аппаратаных (холодных) кошельков для хранения криптовалют также был вынужден оддуваться из-за новой фукнции Ledger Recover, которая позволяет сохранять в облачном хранилище seed-фразу, что означает, что доступом к секретной фразе помимо пользователя будет так или иначе обладать третья сторона.
Источник: The Block.
Читайте также:
Кожевенное дело
Всем добрый вечер!
Попросили сделать маленький кошелечек в ярких летних цветах. Чтобы под карты, мелочь, наличку. Выбрали кожу, выбрали нить
По поводу молнии не знаю. На вкус и цвет товарища нет)
Жене например нравится НЕ металлическая на точно таком же кошельке ( я ей сделал такой же ).
Мол такая там просто удобнее.
А кому то наоборот обязательно нужна металлическая.
Вообщем вот что получилось 😊
Утерян кошелёк г. Екатеринбург
Товарищи пикабутяне, может кто-то из знакомых видел или сам находил. Кошелёк с картами и водительским удостоверением на имя Харин Данил Алексеевич 2000 г. В районе ВИЗ или по маршруту 13 трамвая 19.05.2023 или в районе 13 часов в кафе или около 18 30. Прошу написать на почту для связи xarin1998@mail.ru
Upd нашласьпропажа.
Поиграем в бизнесменов?
Одна вакансия, два кандидата. Сможете выбрать лучшего? И так пять раз.
Первый опыт работы с Буттеро
Всем привет.
Начинаю работать с кожей, просмотрела всё сообщество :)
Хочу поделиться первыми более -менее адекватными работами. Конечно, всё не идеально, но мне нравится. Есть куда стремиться.
Заказала у "Мони" Буттеро в первый раз, осталась в восхищении.
Обложка для документов: снаружи и немного внутри Буттеро, так же внутри коза, нити СТ (оказались толстоваты, да и ушки у игл толстые, буду менять на Джонсовские).
Кошелек: обложка Буттеро, внутри козочка, прошито нитями СТ.
Спасибо за внимание)