Η εταιρεία ασφαλείας Unciphered ισχυρίζεται ότι είναι σε θέση να χακάρει το Trezor T Wallet

Η εταιρεία κυβερνοασφάλειας Unciphered δημοσίευσε ένα βίντεο στο οποίο ισχυρίζεται ότι χάκαρε επιτυχώς ένα πορτοφόλι Trezor T μετά την αποσυναρμολόγηση του υλικού και την εξαγωγή της αρχικής φράσης.

Η Unciphered, μια εταιρεία που ειδικεύεται στην ανάκτηση χαμένων κρυπτονομισμάτων, έδειξε πώς εισέβαλε στο πορτοφόλι υλικού Trezor T της Satoshi Labs χρησιμοποιώντας εξειδικευμένο εξοπλισμό.

Σε βίντεο Αναρτήθηκε στο Youtube την Τετάρτη, ο συνιδρυτής της Unciphered, Eric Michaud, αποσυναρμολογεί το υλικό στη συσκευή και το συνδέει με ένα exploit που αναπτύχθηκε εσωτερικά. Χρησιμοποιώντας εξειδικευμένο λογισμικό, ισχυρίζεται ότι έχει εξαγάγει τη φράση σποράς, ή τα ιδιωτικά κλειδιά, για να μπει στο πορτοφόλι.

"Το exploit για το Trezor T δεν μπορεί να διορθωθεί με ενημερώσεις υλικολογισμικού", είπε ο Michaud.

«Για να διορθωθεί αυτό, η Satoshi Labs θα πρέπει να ανακαλέσει όλα τα προϊόντα της, κάτι που πιθανότατα δεν πρόκειται να κάνει», πρόσθεσε.

Μερικοί χρήστες πρότειναν ότι το exploit που παρουσιάστηκε στο βίντεο ήταν απλώς μια βιτρίνα μιας γνωστής ευπάθειας, αλλά το Unciphered ισχυρίζεται ότι η προηγούμενη επίθεση είχε ήδη διορθωθεί από την Trezor πριν από χρόνια.

Αυτή η παλιά επίθεση διορθώθηκε και διορθώθηκε το 2019.

— Unciphered LLC (@uncipheredLLC) 24 Μαΐου 2023

Το πορτοφόλι Trezor T που εμφανίζεται στην επίδειξη βίντεο φέρεται να παρασχέθηκε από CoinDesk, μετά από μια εκτενή σειρά συνομιλιών σχετικά με μια υποτιθέμενη «μη επιδιορθωμένη ευπάθεια υλικού» με το τσιπ STM32 του πορτοφολιού. 

Ο Trezor είπε στο CoinDesk ότι η επίθεση που πραγματοποιήθηκε από το Unciphered έμοιαζε με επίθεση υποβάθμισης RDP που απαιτούσε φυσική κλοπή μιας συσκευής, ακραίες τεχνικές γνώσεις και προηγμένο εξοπλισμό για να εκτελεστεί. 

Ο κατασκευαστής του πορτοφολιού υλικού ισχυρίζεται ότι έχει ήδη λάβει σημαντικά βήματα για την επίλυση του προβλήματος έως ανάπτυξη το πρώτο ελεγχόμενο και διαφανές στοιχείο ασφαλείας στον κόσμο μέσω της αδελφής του εταιρείας Tropic Square.

Η ασφάλεια του πορτοφολιού υλικού ήταν ένα δημοφιλές θέμα μεταξύ των παρατηρητών του κλάδου τις τελευταίες εβδομάδες, τα περισσότερα από τα οποία επικεντρώθηκαν γύρω από το Ledger και το αμφιλεγόμενο Ανάκτηση αναβαθμίζω. Η εταιρεία ανακοίνωσε μια επερχόμενη προαιρετική δυνατότητα που θρυμματίζει κρυπτογραφημένες φράσεις και τις αποθηκεύει σε τρία διαφορετικά μέρη, δίνοντας στους χρήστες τη δυνατότητα να ανακτήσουν την κρυπτογράφηση τους σε περίπτωση χαμένης φράσης αρχικής σελίδας. 

Μετά από μια σημαντική αντίδραση της κοινότητας, ο Ledger έχει τώρα καθυστέρηση την κυκλοφορία της νέας δυνατότητας ανάκτησης, με την υπόσχεση να καταστήσει όσο το δυνατόν περισσότερο τον κώδικα ανοιχτού κώδικα πριν από την επίσημη κυκλοφορία.