Crypto Security Firm Unciphered Claims Kakayahang Pisikal na I-hack ang Trezor T Wallet

Isang kumpanya ng mga propesyonal sa cybersecurity na dalubhasa sa pagbawi ng nawala o ninakaw na Cryptocurrency ang nagsasabing nakahanap sila ng paraan para ma-hack ang sikat na Trezor T hardware wallet kapag nasa kanila na ito.

Sinabi ni Unciphered sa CoinDesk sa isang malawak na serye ng mga pag-uusap at sa pamamagitan ng email na ginamit nito ang isang "hindi maipatch na kahinaan ng hardware na may STM32 chip na nagpapahintulot sa amin na itapon ang naka-embed na flash at isang beses na programmable (OTP) na data."

Iyon ay medyo teknikal, ngunit ang koponan ay nagsagawa ng isang laboratoryo na demonstrasyon - at naidokumento ito sa isang video - na nagawa nitong i-hack ang isang Trezor T wallet na ibinigay ng CoinDesk at matagumpay na nakuha ang aming seed phrase at pin. Hindi naka-cipher ay dati nang na-hack ang EthereumWallet at nabawi ang naka-lock Crypto, kahit na sinasabi nila sa kanilang website na sila ay “Sinusuportahan ang bawat pitaka sa merkado.”

Sinabi ni Trezor sa CoinDesk na ang koponan nito ay T sapat na mga detalye tungkol sa partikular na pag-atake na ginawa ng Unciphered upang ganap na tumugon, ngunit binanggit na ito ay mukhang isang "pag-atake ng pag-downgrade ng RDP," na pampublikong na-flag bilang isang panganib tatlong taon na ang nakakaraan.

Sinabi ng isang press representative para sa Maker ng hardware wallet na hindi nila alam ang anumang mga pagtatangka ng Unciphered na direktang makipag-ugnayan, kahit na, "tulad ng ipinaalam sa aming blog sa unang bahagi ng 2020, ang mga pag-atake ng pag-downgrade ng RDP ay nangangailangan ng pisikal na pagnanakaw ng isang device at sobrang sopistikadong kaalaman sa teknolohiya at advanced na kagamitan."

Idinagdag ni Trezor na "kahit na sa itaas, ang Trezors ay mapoprotektahan ng isang malakas na passphrase, na nagdaragdag ng isa pang layer ng seguridad na nagiging walang silbi ang pag-downgrade ng RDP."

Ang mga wallet ng hardware ay biglang tumutok bilang resulta ng kamakailang pagsalungat ng publiko laban sa karibal Maker ng Ledger sa iminungkahing opsyonal nito "pagpipilian sa pagbawi," na ikinagalit ng ilang user na naunawaan na ang device ay ganap na nakahiwalay. Maraming matagal nang eksperto sa seguridad ng Crypto ang nagrekomenda ng mga wallet ng hardware bilang isang mas ligtas na lugar para mag-imbak ng mga asset kaysa panatilihin ang mga ito sa mga palitan – lalo na pagkatapos ng pagbagsak ng FTX exchange ni Sam Bankman-Fried noong nakaraang taon – ngunit ipinapakita ng mga pinakabagong paghahayag na ang mga device ay T rin foolproof.

Read More: Ang Crypto Wallet Provider Ledger ay Nagde-delay ng Key-Recovery Service Pagkatapos ng Uproar

Sinabi ng Unciphered na T nito kumpirmahin o tatanggihan kung ang pag-hack nito sa Trezor T ay maituturing na isang pag-downgrade ng RDP, na binabanggit ang "kasalukuyang pakikipag-ugnayan at mga kasunduan sa hindi pagsisiwalat" na naghihigpit sa pagpaliwanag sa "kung paano gumagana ang pagsasamantalang chain na ito sa oras na ito."

"Dagdag pa, anumang teknikal Disclosure ay maglalagay sa mga customer ng Satoshilabs sa potensyal na panganib hanggang sa ang mga pagpapagaan tulad ng isang bagong chip ay ginagamit maliban sa STM32 sa kasalukuyang paggamit," ayon sa Unciphered.

Itinuro ni Unciphered na, kahit na alam ni Trezor na ang modelo ng Trezor T ay may kahinaan sa STM32 chip nito, ang kumpanya ay hindi gumawa ng anumang bagay upang ayusin iyon mula noong unang pagsisikap na isapubliko ang panganib.

"Nananatili ang katotohanan na sa pamamagitan ng artikulong ito sinusubukan nilang ilagay ang responsibilidad ng pag-secure ng kanilang device sa customer sa halip na tanggapin ang responsibilidad ng pag-amin na ang kanilang device sa panimula ay hindi secure," isinulat ni Unciphered sa isang email sa CoinDesk.

Ayon kay Trezor: "Salungat sa mga pag-angkin ng Unciphered, gumawa na si Trezor ng mga makabuluhang hakbang upang malutas ito sa pagbuo ng unang auditable at transparent na secure na elemento sa mundo sa pamamagitan ng sister company na Tropic Square.”

Mga alternatibong opsyon sa mga wallet ng hardware

Ito ay binibigyang-diin na ang vector ng pag-atake ng Unciphered ay gumagana lamang sa device na nasa pisikal na pag-aari ng hacker.

"Ang seguridad ay ang banta ay kadalasang nagmumula sa loob ng bahay," sabi ni Nick Federoff, pinuno ng marketing sa Unciphered. "Maaari tayong maging sarili nating pinakamasamang kaaway. Kaya ito ay isang malaking bahagi nito."

Kapag nag-set up ang isang user ng hardware wallet, bubuo ang wallet ng random na set ng 12 o 24 na salita, na kilala bilang seed phrase, na nagbibigay-daan sa access sa mga asset sa wallet.

Bilang bahagi ng pagsisikap ng Unciphered na ipakita ang kakayahan nito, hiniling ng mga opisyal ng kumpanya sa CoinDesk na kumuha ng bagong Trezor T wallet, i-set up ito gamit ang sarili nating seed phrase at isulat iyon sa isang lugar na ligtas. Pagkatapos ay ipinadala namin ito sa pamamagitan ng isang secure na opsyon sa pag-mail sa lab ng Unciphered, kung saan nagpatuloy sila sa pag-hack dito (pagre-record ilan sa mga hakbang sa isang video) at sa huli ay nakuha ko ang aming seed phrase at pin. Ang karagdagang hakbang ng pagsali sa CoinDesk ay iminungkahi ng Unciphered team bilang isang paraan ng pagbibigay ng kasiguruhan na ang pamamaraan ay T peke o na ang device ay T nakompromiso ng isang dating may-ari.

Ang device ay nagtitingi ng $219 sa kumpanya website.

Kinilala ng Unciphered na hindi nito nakipag-ugnayan kay Trezor upang ipaalam sa kanila ang tungkol sa kahinaan bago subukang isapubliko ito sa pamamagitan ng isang artikulo sa CoinDesk; madalas, ang ganitong mga hacker na "puting sumbrero" ay gagana nang mas matulungin. "Hindi nakipag-ugnayan ang Unciphered kay Trezor sa pamamagitan man ng aming responsableng programa sa Disclosure o kung hindi man," sabi ng isang kinatawan ng press sa Trezor.

Sinabi ni Unciphered sa CoinDesk na hindi nila nakipag-ugnayan kay Trezor dahil "ang aming mga obligasyon ay sa mga consumer sa halip na sa mga vendor, na may mga interes sa pagbebenta ng mas maraming produkto, gaano man kahinat ang mga produktong iyon na ginagawa ng mga customer na gumagamit ng mga ito."

Read More: HOT vs. Cold Crypto Wallets: Ano ang Mga Pagkakaiba?