La società di sicurezza non cifrata afferma di essere in grado di hackerare il portafoglio Trezor T

La società di sicurezza informatica Unciphered ha pubblicato un video in cui afferma di aver violato con successo un portafoglio Trezor T dopo aver smantellato l'hardware ed estratto la frase seme.

Unciphered, una società specializzata nel recupero di criptovalute perdute, ha dimostrato come sia entrata nel portafoglio hardware Trezor T di Satoshi Labs utilizzando attrezzature specializzate.

In un video pubblicato su Youtube mercoledì, il co-fondatore di Unciphered, Eric Michaud, smonta l'hardware del dispositivo e lo collega a un exploit sviluppato internamente. Utilizzando un software specializzato, afferma di aver estratto la frase seme, o chiavi private, per entrare nel portafoglio.

"L'exploit per il Trezor T non è risolvibile con gli aggiornamenti del firmware", ha affermato Michaud.

"Per risolvere questo problema, Satoshi Labs dovrà richiamare tutti i loro prodotti, cosa che probabilmente non faranno", ha aggiunto.

Alcuni utenti hanno suggerito che l'exploit dimostrato nel video fosse solo una vetrina di una vulnerabilità nota, ma Unciphered afferma che l'attacco precedente era già stato corretto da Trezor anni fa.

Quel vecchio attacco è stato corretto e risolto nel 2019.

— Unciphered LLC (@uncipheredLLC) 24 Maggio 2023

Il portafoglio Trezor T che appare nel video dimostrativo sarebbe stato fornito da CoinDesk, dopo un'ampia serie di conversazioni su una presunta "vulnerabilità hardware non riparabile" con il chip STM32 del portafoglio. 

Trezor ha dichiarato a CoinDesk che l'attacco eseguito da Unciphered somigliava a un attacco di downgrade RDP che richiedeva il furto fisico di un dispositivo, conoscenze tecniche estreme e attrezzature avanzate per essere eseguito. 

Il produttore del portafoglio hardware afferma di aver già adottato misure significative per risolvere il problema in via di sviluppo il primo elemento di sicurezza verificabile e trasparente al mondo attraverso la sua consociata Tropic Square.

La sicurezza del portafoglio hardware è stata un argomento di tendenza tra gli osservatori del settore nelle ultime settimane, la maggior parte del quale si è incentrata su Ledger e il suo controverso Recuperare aggiornamento. L'azienda ha annunciato un'imminente funzionalità opzionale che frammenta le frasi seme crittografate e le archivia con tre parti diverse, offrendo agli utenti la possibilità di recuperare la propria crittografia in caso di frase seme persa. 

A seguito di una quantità significativa di contraccolpi della comunità, Ledger ha ora ritardato il rilascio della nuova funzionalità di recupero, impegnandosi a rendere open source la maggior parte del codice prima del lancio ufficiale.