Sicherheitsfirma entschlüsselt Behauptungen, Trezor T Wallet hacken zu können

Das Cybersicherheitsunternehmen Unciphered hat ein Video veröffentlicht, in dem es behauptet, erfolgreich ein Trezor-T-Wallet gehackt zu haben, nachdem es die Hardware zerlegt und die Seed-Phrase extrahiert hatte.

Unciphered, ein Unternehmen, das sich auf die Wiederherstellung verlorener Kryptowährungen spezialisiert hat, demonstrierte, wie es mithilfe spezieller Ausrüstung in die Hardware-Wallet Trezor T von Satoshi Labs einbrach.

In einer Video Eric Michaud, Mitbegründer von Unciphered, hat am Mittwoch auf YouTube gepostet und demontiert die Hardware des Geräts und bringt es mit einem intern entwickelten Exploit in Verbindung. Mithilfe spezieller Software behauptet er, die Seed-Phrase bzw. privaten Schlüssel extrahiert zu haben, um in die Wallet zu gelangen.

„Der Exploit für den Trezor T lässt sich mit Firmware-Updates nicht beheben“, sagte Michaud.

„Um das Problem zu beheben, muss Satoshi Labs alle seine Produkte zurückrufen, was sie wahrscheinlich nicht tun werden“, fügte er hinzu.

Einige Benutzer vermuteten, dass der im Video gezeigte Exploit nur ein Beispiel für eine bekannte Sicherheitslücke sei, Unciphered behauptet jedoch, dass der vorherige Angriff bereits vor Jahren von Trezor gepatcht worden sei.

Dieser alte Angriff wurde 2019 gepatcht und behoben.

— Unciphered LLC (@uncipheredLLC) 24. Mai 2023

Berichten zufolge wurde die Trezor-T-Wallet, die in der Videodemonstration erscheint, von bereitgestellt CoinDesk, nach einer ausführlichen Reihe von Gesprächen über eine angeblich „nicht zu behebende Hardware-Schwachstelle“ im STM32-Chip des Wallets. 

Trezor teilte CoinDesk mit, dass der von Unciphered durchgeführte Angriff einem RDP-Downgrade-Angriff ähnelte, für dessen Ausführung der physische Diebstahl eines Geräts, extreme technische Kenntnisse und fortschrittliche Ausrüstung erforderlich waren. 

Der Hardware-Wallet-Hersteller gibt an, bereits erhebliche Schritte zur Lösung des Problems unternommen zu haben Entwicklung das weltweit erste überprüfbare und transparente Sicherheitselement durch sein Schwesterunternehmen Tropic Square.

Die Sicherheit von Hardware-Wallets war in den letzten Wochen ein Trendthema unter Branchenbeobachtern, wobei sich die meisten Themen auf Ledger und seine kontroversen Themen konzentrierten Entspannung Aktualisierung. Das Unternehmen kündigte eine kommende optionale Funktion an, die verschlüsselte Seed-Phrasen aufteilt und bei drei verschiedenen Parteien speichert, sodass Benutzer ihre Kryptowährung im Falle eines Verlusts einer Seed-Phrase wiederherstellen können. 

Nach einer beträchtlichen Menge an Gegenreaktionen in der Community hat Ledger dies nun getan verzögert die Veröffentlichung der neuen Wiederherstellungsfunktion, mit der Zusage, einen möglichst großen Teil des Codes vor dem offiziellen Start als Open Source zu veröffentlichen.