Firma de securitate Unciphered pretinde că poate pirata portofelul Trezor T

Firma de securitate cibernetică Unciphered a postat un videoclip în care susține că a spart cu succes un portofel Trezor T după ce a demontat hardware-ul și a extras fraza de bază.

Unciphered, o companie specializată în recuperarea criptomonedei pierdute, a demonstrat cum a pătruns în portofelul hardware Trezor T al Satoshi Labs folosind echipamente specializate.

Într-o video postat pe Youtube miercuri, co-fondatorul Unciphered Eric Michaud demontează hardware-ul dispozitivului și îl conectează la un exploit care a fost dezvoltat intern. Folosind software specializat, el susține că a extras fraza de bază, sau cheile private, pentru a intra în portofel.

„Exploita-ul pentru Trezor T nu poate fi reparat cu actualizări de firmware”, a spus Michaud.

„Pentru a remedia acest lucru, Satoshi Labs va trebui să-și recheme toate produsele, ceea ce probabil că nu vor face”, a adăugat el.

Unii utilizatori au sugerat că exploitul demonstrat în videoclip a fost doar o vitrină a unei vulnerabilități cunoscute, dar Unciphered susține că atacul anterior fusese deja reparat de Trezor cu ani în urmă.

Acel vechi atac a fost remediat și remediat în 2019.

— Unciphered LLC (@uncipheredLLC) 24 Mai, 2023

Portofelul Trezor T care apare în demonstrația video a fost furnizat de CoinDesk, după o serie extinsă de conversații despre o presupusă „vulnerabilitate hardware nepatchabilă” cu cipul STM32 al portofelului. 

Trezor a declarat pentru CoinDesk că atacul efectuat de Unciphered seamănă cu un atac de downgrade RDP care a necesitat furtul fizic al unui dispozitiv, cunoștințe tehnice extreme și echipamente avansate pentru a fi executat. 

Producătorul portofelului hardware susține că a făcut deja pași importanți pentru a rezolva problema în curs de dezvoltare primul element securizat auditabil și transparent din lume prin compania sa soră Tropic Square.

Securitatea portofelului hardware a fost un subiect de tendință în rândul observatorilor din industrie în ultimele săptămâni, cea mai mare parte fiind concentrată pe Ledger și controversatul său Recupera actualizare. Firma a anunțat o funcție opțională viitoare, care fragmentează frazele de semințe criptate și le stochează cu trei părți diferite, oferind utilizatorilor opțiunea de a-și recupera criptomoneda în cazul unei fraze semințe pierdute. 

După o cantitate semnificativă de reacții ale comunității, Ledger a făcut-o acum întârziat lansarea noii caracteristici de recuperare, angajându-se să facă cât mai mult din codul open source înainte de lansarea oficială.