La società di sicurezza informatica Unciphered ha pubblicato un video in cui afferma di aver violato un portafoglio hardware Trezor.
La startup di sicurezza informatica Unciphered afferma di essersi infiltrata nella sicurezza del popolare portafoglio crittografico hardware modello Trezor T.
Il 24 maggio, il team ha pubblicato un video in cui estraevano la frase seme mnemonica o la chiave privata del portafoglio.
La società di recupero della criptovaluta ha smontato il Trezor per rimuovere il circuito interno. È stato collegato alla sua apparecchiatura di laboratorio che ha consentito l'estrazione del firmware del dispositivo.
Vulnerabilità di Trezor rivelata
Ha quindi utilizzato potenti GPU (unità di elaborazione grafica) per lavorare sull'estrazione.
Il co-fondatore di Unciphered, Eric Michaud, ha dichiarato:
“Abbiamo caricato il firmware che abbiamo estratto sui nostri cluster di cracking di calcolo ad alte prestazioni. Abbiamo circa 10 GPU… e ci è voluto un po' di tempo, ma abbiamo estratto il PIN".
Ha anche affermato che il recupero è stato reso possibile da un "exploit che abbiamo sviluppato internamente". Il team ha anche dovuto scrivere un codice personalizzato per realizzare l' hacking , che ha spiegato essere "estremamente difficile".
Michaud ha affermato che l' exploit non era risolvibile con gli aggiornamenti del firmware. "Per risolvere questo problema, Satoshi Labs dovrebbe richiamare tutti i loro prodotti", ha detto prima di aggiungere, "cosa che probabilmente non faranno".
Trezor ha risposto all'esperimento affermando che il suo team non aveva abbastanza dettagli su questo specifico hack. Ha aggiunto che sembrava trattarsi di un "attacco di downgrade RDP [Read Protection]", che è stato pubblicamente segnalato come rischio all'inizio del 2020.
"L'attacco RDP Downgrade è un attacco preciso che prende di mira la vulnerabilità hardware dei microchip STM32 utilizzati nei portafogli hardware Trezor One e Trezor Model T", ha affermato all'epoca.
Inoltre, l'attacco richiede il furto fisico del dispositivo, "conoscenze tecnologiche estremamente sofisticate e attrezzature avanzate".
Sicurezza del portafoglio hardware esaminata
La rivelazione arriva appena una settimana dopo che la società rivale Ledger è stata coinvolta in un altro imbroglio di pubbliche relazioni. Crypto Twitter era inondato di commenti che chiedevano il dumping di Ledger a favore di Trezor, ma questa tendenza è stata ora annullata.
Ledger è stato criticato la scorsa settimana per aver lanciato un servizio di recupero che gli ha dato il controllo sull'archiviazione delle frasi seme. L'ex CEO ha ammesso che il dispositivo non era affidabile e l'attuale CEO, Pascal Gauthier, si è scusato per l'ultimo errore dell'azienda.
Sembra che nessun portafoglio hardware sia sicuro al 100%, nonostante quanto affermano gli uffici marketing dei produttori.
Il post La società di sicurezza informatica hackera il portafoglio hardware Trezor utilizzando un exploit di tre anni è apparso per la prima volta su BeInCrypto .