Кракен взломал кошельки Биткоин Трезора всего за 15 минут

Подразделение кибербезопасности крупнейшей американской криптовалютной биржи Kraken публично обнаружило критический аппаратный недостаток в обоих флагманских продуктах Trezor — Trezor One и Trezor Model T.

?It took Kraken Security Labs just 15 minutes to hack both of @trezor’s crypto hardware wallets.

Here’s how we did it and what it means if you’re a user: https://t.co/5betNtDnD0

— Kraken Exchange (@krakenfx) January 31, 2020

Согласно сообщению в блоге, Лаборатории безопасности Kraken «всего за 15 минут взломали оба крипто-аппаратных кошелька Trezor». Тем не менее, описанный способ требует около 15 минут «физического доступа» к устройству, включая открытие его корпуса, и некоторого специализированного оборудования, поэтому его нельзя назвать «простым».

Kraken сказал, что он использовал скачки напряжения для извлечения зашифрованного начального числа — набора слов, используемых для управления Биткоин — из каждого устройства. Как только семя было извлечено, оно взломало принудительное шифрование, что было тривиально легко сделать, отмечается в отчете.

Сама атака использует «недостатки, присущие микроконтроллеру, используемому в кошельках Trezor». Kraken предположил, что команде Trezor будет трудно исправить эту уязвимость «без модернизации оборудования».

Kraken потратил несколько сотен долларов на оборудование для взлома, но подумал, что такое устройство, предназначенное для сбоев напряжения, может быть продано всего за 75 долларов, если его массово производить.

Стоит отметить, что эксперты Kraken уже связались с Trezor по поводу этой уязвимости. Павол Руснак, технический директор разработчика Trezor SatoshiLabs, добавил: «Мы рады, что Kraken Security Labs инвестируют свои ресурсы в повышение безопасности всей биткоин-экосистемы. Мы ценим такое ответственное раскрытие информации и сотрудничество ».

В свою очередь, Kraken Security Labs заявляет, что «пытается обнаружить атаки на криптосообщество раньше, чем это делают плохие парни» и «ответственно раскрыла все детали этой атаки команде Trezor 30 октября 2019 года». Причина, по которой эта уязвимость становится достоянием общественности, указывается как «чтобы криптосообщество могло защитить себя до выпуска исправления командой Trezor».

Trezor сопротивляется

Trezor ответил на этот пост, утверждая, что владельцы устройств должны использовать надежные парольные фразы для защиты своих устройств.

«За шесть лет существования SatoshiLabs мы посвятили большую часть наших ресурсов борьбе с удаленными атаками и разработали устройства, которые полностью защищены от всех онлайн-угроз», — написал Trezor в своем блоге , добавив: «Мы всегда знали, что все оборудование взломано, и вопрос о физических атаках заключается не в том, произойдут ли они, а когда они произойдут».

Возможно, пришло время дважды проверить эту фразу-пароль.