Trezor T 지갑을 해킹할 수 있다고 주장하는 보안 회사 Unciphered

사이버 보안 회사인 Unciphered는 하드웨어를 분해하고 시드 문구를 추출한 후 Trezor T 지갑을 성공적으로 해킹했다고 주장하는 비디오를 게시했습니다.

분실된 암호화폐 복구 전문업체인 언사이퍼드(Unciphered)가 특수 장비를 이용해 사토시랩스의 트레저 T 하드웨어 지갑에 침입한 과정을 시연했다.

안에 비디오 Unciphered의 공동 창립자 Eric Michaud는 수요일에 Youtube에 게시하여 장치의 하드웨어를 분해하고 내부에서 개발한 익스플로잇에 연결합니다. 그는 특수 소프트웨어를 사용하여 지갑에 들어가기 위해 시드 문구 또는 개인 키를 추출했다고 주장합니다.

Michaud는 “Trezor T에 대한 익스플로잇은 펌웨어 업데이트로 수정할 수 없습니다.

"이 문제를 해결하기 위해 Satoshi Labs는 모든 제품을 리콜해야 하지만 그렇게 하지 않을 가능성이 높습니다."라고 그는 덧붙였습니다.

일부 사용자는 비디오에서 시연된 익스플로잇이 알려진 취약점의 쇼케이스일 뿐이라고 제안했지만 Unciphered는 이전 공격이 이미 몇 년 전에 Trezor에 의해 패치되었다고 주장합니다.

이 오래된 공격은 2019년에 패치 및 수정되었습니다.

— Unciphered LLC(@uncipheredLLC) 2023 년 5 월 24 일

영상 시연에 등장하는 트레저 T 지갑은 업체에서 제공받은 것으로 전해졌다. CoinDesk, 지갑의 STM32 칩과 함께 "패치할 수 없는 하드웨어 취약점"에 대한 일련의 광범위한 대화 후. 

Trezor는 CoinDesk에 Unciphered가 수행한 공격이 RDP 다운그레이드 공격과 유사하며 이를 실행하려면 장치의 물리적 절도, 고도의 기술 지식 및 고급 장비가 필요하다고 말했습니다. 

하드웨어 지갑 제조업체는 문제를 해결하기 위해 이미 상당한 조치를 취했다고 주장합니다. 개발 자매 회사인 Tropic Square를 통한 세계 최초의 감사 가능하고 투명한 보안 요소입니다.

하드웨어 지갑 보안은 지난 몇 주 동안 업계 관찰자들 사이에서 유행하는 주제였으며 대부분은 Ledger와 논란의 여지가 있는 주제였습니다. 복구 업그레이드. 이 회사는 암호화된 시드 문구를 샤딩하고 이를 세 가지 다른 당사자와 함께 저장하는 향후 선택적 기능을 발표하여 사용자가 시드 문구를 분실한 경우 암호를 복구할 수 있는 옵션을 제공합니다. 

상당한 양의 커뮤니티 반발에 따라 Ledger는 이제 지연 새로운 복구 기능의 출시, 공식 출시 전에 최대한 많은 코드를 오픈 소스로 만들 것을 약속합니다.