Kraken Security Labs poinformował, że odkrył krytyczną lukę w portfelach sprzętowych Trezora, umożliwiającą wyodrębnienie fraz seed w ciągu 15 minut.
Według Krakena atakujący potrzebuje fizycznego dostępu do urządzenia Trezor One lub Trezor Model T oraz niedrogiego urządzenia, które może spowodować awarię mikrokontrolera, powodując spadek napięcia w celu przeprowadzenia włamania. Eksperci twierdzą, że koszt takiego urządzenia wynosi około 75 USD.
Nick Percoco, dyrektor ds. Bezpieczeństwa w Kraken, podkreślił, że Trezor już wie o tej luce.
„Wada leży w sprzęcie. Nie możesz po prostu wydać oficjalnej aktualizacji, która rozwiązałaby problem dla wszystkich użytkowników ”- powiedział Percoco w rozmowie z The Block. „ Aby rozwiązać ten problem, muszą wypuścić nowe urządzenie”.
Wkrótce po opublikowaniu posta na blogu Kraken Trezor ogłosił, że ataku nie można przeprowadzić zdalnie – tylko przy fizycznym dostępie do portfela. Ponadto, w celu jego implementacji na urządzeniu należy aktywować hasło klucz standard BIP 39.
„Według naszych badań dostęp fizyczny stanowi zagrożenie dla 6–9% użytkowników ”, podkreślili twórcy Trezor. „ Ataki polegające na fizycznym dostępie nie są powszechne”.
Comments (No)