Une entreprise de sécurité prétend être en mesure de pirater le portefeuille Trezor T

La société de cybersécurité Unciphered a publié une vidéo dans laquelle elle prétend avoir piraté avec succès un portefeuille Trezor T après avoir démonté le matériel et extrait la phrase de départ.

Unciphered, une société spécialisée dans la récupération de crypto-monnaie perdue, a démontré comment elle s'est introduite dans le portefeuille matériel Trezor T de Satoshi Labs à l'aide d'un équipement spécialisé.

Dans un vidéo posté sur Youtube mercredi, le co-fondateur de Unciphered, Eric Michaud, démonte le matériel de l'appareil et le connecte à un exploit développé en interne. À l'aide d'un logiciel spécialisé, il prétend avoir extrait la phrase de départ, ou les clés privées, pour entrer dans le portefeuille.

"L'exploit du Trezor T ne peut pas être corrigé avec les mises à jour du firmware", a déclaré Michaud.

"Afin de résoudre ce problème, Satoshi Labs devra rappeler tous ses produits, ce qu'ils ne feront probablement pas", a-t-il ajouté.

Certains utilisateurs ont suggéré que l'exploit démontré dans la vidéo n'était qu'une vitrine d'une vulnérabilité connue, mais Unciphered affirme que l'attaque précédente avait déjà été corrigée par Trezor il y a des années.

Cette ancienne attaque a été corrigée et corrigée en 2019.

– LLC non chiffrée (@uncipheredLLC) 24 mai 2023

Le portefeuille Trezor T qui apparaît dans la démonstration vidéo aurait été fourni par CoinDesk, après une longue série de conversations sur une soi-disant "vulnérabilité matérielle impossible à corriger" avec la puce STM32 du portefeuille. 

Trezor a déclaré à CoinDesk que l'attaque effectuée par Unciphered ressemblait à une attaque de rétrogradation RDP qui nécessitait le vol physique d'un appareil, des connaissances techniques extrêmes et un équipement avancé pour s'exécuter. 

Le fabricant du portefeuille matériel affirme qu'il a déjà pris des mesures importantes pour résoudre le problème en développement le premier élément sécurisé vérifiable et transparent au monde par l'intermédiaire de sa société sœur Tropic Square.

La sécurité du portefeuille matériel a été un sujet tendance parmi les observateurs de l'industrie au cours des dernières semaines, dont la plupart se sont concentrés sur Ledger et son controversé Récupérer améliorer. La société a annoncé une fonctionnalité optionnelle à venir qui fragmente les phrases de départ cryptées et les stocke avec trois parties différentes, offrant aux utilisateurs la possibilité de récupérer leur crypto en cas de perte d'une phrase de départ. 

Suite à une importante réaction de la part de la communauté, Ledger a maintenant en retard la sortie de la nouvelle fonctionnalité de récupération, s'engageant à rendre le code open source le plus possible avant le lancement officiel.