Экспертам Kraken удалось за 15 минут извлечь seed-фразу из биткоин-кошелька Trezor

garryncha

Специалисты Kraken Security Labs сообщили, что нашли критическую уязвимость в аппаратных кошельках Trezor, открывающую возможность извлечения seed-фразы в течение 15 минут.
По словам представителей Kraken, для осуществления атаки злоумышленнику необходим физический доступ к устройству Trezor One или Trezor Model T и недорогое устройство, способное вызвать сбой в микроконтроллере из-за перепада напряжения. Стоимость такого устройства составляет примерно $75, отмечают специалисты.
Директор по безопасности Kraken Ник Перкоко подчеркнул, что в Trezor знают об этой уязвимости.

«Недостаток кроется в аппаратной части. Нельзя просто выпустить официальное обновление, которое исправило бы проблему у всех пользователей, — заявил Перкоко в разговоре с The Block. — Чтобы решить эту проблему, им, по сути, нужно выпустить новое устройство»

Вскоре после выхода поста в блоге Kraken в Trezor сообщили, что атака не может быть совершена удаленно и полностью исключается включением функции Passphrase.
«Согласно нашему исследованию, физический доступ представляет собой риски для 6-9% пользователей, — подчеркнули разработчики Trezor. — Атаки, предполагающие физический доступ, не распространены широко»

Ранее специалисты Kraken рассказали об аналогичной уязвимости в аппаратных кошельках KeepKey. По словам экспертов, в этих устройствах используется то же семейство чипов, что и в Trezor.

В Kraken уверены, что используемые в этих кошельках чипы изначально не предназначены для хранения секретной информации и, следовательно, не должны являться единственным средством защиты криптоактивов. Специалисты порекомендовали пользователям устанавливать кодовые фразы, чтобы максимально обезопасить себя от несанкционированного доступа.

casio

Ну если есть доступ к устройству, то можно просто его думаю использовать ...

Ivan Ivanov

если Trezor знает, то почему ничего не делает? ждут, пока все деньги у клиентов украдут?