חברת אבטחה לא מוצפנת טוענת שהיא מסוגלת לפרוץ את ארנק טרזור ​​T

חברת אבטחת הסייבר Unciphered פרסמה סרטון שבו היא טוענת שפרצה בהצלחה ארנק של Trezor T לאחר פירוק החומרה וחילוץ ביטוי המקור.

Unciphered, חברה המתמחה בשחזור מטבעות קריפטוגרפיים שאבדו, הדגימה כיצד היא פרצה לארנק החומרה Trezor T של Satoshi Labs באמצעות ציוד מיוחד.

ב וידאו פורסם ב-YouTube ביום רביעי, מייסד-שותף של Unciphered, אריק מישו, מפרק את החומרה במכשיר ומחבר אותה לניצול שפותח בבית. באמצעות תוכנה מיוחדת, הוא טוען שחילץ את ביטוי המקור, או המפתחות הפרטיים, כדי להיכנס לארנק.

"הניצול עבור Trezor T אינו ניתן לתיקון עם עדכוני קושחה", אמר מישו.

"כדי לתקן את זה, מעבדות סאטושי יצטרכו להחזיר את כל המוצרים שלהם, מה שהם כנראה לא הולכים לעשות", הוסיף.

חלק מהמשתמשים הציעו שהניצול שהודגם בסרטון הוא רק תצוגה של פגיעות ידועה, אבל Unciphered טוען שהמתקפה הקודמת כבר תוקנה על ידי Trezor לפני שנים.

המתקפה הישנה הזו תוקנה ותוקנה ב-2019.

— Unciphered LLC (@uncipheredLLC) מאי 24, 2023

על פי הדיווחים, ארנק Trezor T המופיע בהדגמת הווידאו סופק על ידי CoinDesk, לאחר סדרה נרחבת של שיחות על "פגיעות חומרה בלתי ניתנת לתיקון" עם שבב STM32 של הארנק. 

טרזור ​​אמר ל-CoinDesk כי המתקפה שבוצעה על ידי Unciphered דומה להתקפה של הורדת דירוג RDP שדרשה גניבה פיזית של מכשיר, ידע טכני קיצוני וציוד מתקדם לביצוע. 

יצרנית ארנק החומרה טוענת כי היא כבר נקטה בצעדים משמעותיים כדי לפתור את הבעיה על ידי מתפתח האלמנט המאובטח הראשון בעולם הניתן לביקורת ושקוף באמצעות חברת האחות Tropic Square.

אבטחת ארנק חומרה הייתה נושא מגמתי בקרב צופים בתעשייה במהלך השבועות האחרונים, שרובו התרכז סביב לדג'ר והשנוי במחלוקת שלה להחלים שדרוג. החברה הכריזה על תכונה אופציונלית עתידית שמרסקת ביטויי זריעה מוצפנים ומאחסנת אותם אצל שלושה גורמים שונים, מה שנותן למשתמשים אפשרות לשחזר את הקריפטו שלהם במקרה של ביטוי זרעים שאבד. 

בעקבות כמות משמעותית של תגובה קהילתית, לדג'ר יש כעת מעוכב שחרור תכונת השחזור החדשה, תוך התחייבות להפוך כמה שיותר מהקוד לקוד פתוח לפני ההשקה הרשמית.