Фирма по кибербезопасности утверждает, что взломала seed-фразу из аппаратного кошелька Trezor T.

Стартап в области кибербезопасности Unciphered утверждает, что ему удалось взломать популярный аппаратный крипто-кошелек модели Trezor T производства Satoshi Labs.

В демонстрации на YouTube Unciphered продемонстрировала очевидное извлечение мнемонической фразы кошелька или закрытого ключа с использованием уязвимости оборудования, которая зависит от физического владения устройством.

Это не первый раз, когда Unciphered удается получить сид-фразы из аппаратных кошельков. В феврале компания продемонстрировала аналогичный взлом кошелька производства гонконгской компании OneKey.

Аппаратные кошельки, которые хранят закрытые ключи в автономном режиме и предназначены для защиты криптоактивов, обычно считаются очень безопасными. Однако в Unciphered заявили, что аппаратные механизмы безопасности модели Trezor T теоретически можно обойти, если у хакера есть T-кошелек.

Тип эксплойта, описанный Unciphered, возможен только в том случае, если злоумышленник имеет физический доступ к аппаратному кошельку.

В видео команда Unciphered заявила, что разработала «собственный эксплойт», который позволил им извлечь прошивку кошелька. Эрик Мишо, соучредитель Unciphered, утверждал, что, используя специализированные чипы графического процессора, они в конечном итоге смогли взломать исходную фразу устройства.

Физическое владение, необходимое для успеха эксплойта

«Мы загрузили прошивку, которую мы извлекли, в наши высокопроизводительные вычислительные кластеры для взлома, — объяснил Мишо в видео. — У нас около 10 графических процессоров, и через некоторое время мы извлекли ключи».

Мишо также заявил, что исправление этого эксплойта для Trezor T потребует отзыва всех их продуктов.

Trezor не сразу ответил на запрос The Block о комментариях.

В интервью CoinDesk Трезор признал, что демонстрация Unciphered имеет сходство с уязвимостью понижения защиты от чтения (RDP), обнаруженной исследователями Kraken Security Labs, которая затронула как Trezor One, так и Trezor Model T. Это означает, что уязвимость не нова.

Трезор также пояснил, что такие атаки потребуют физической кражи устройства аппаратного кошелька.

© 2023 The Block Crypto, Inc. Все права защищены. Эта статья предоставлена ​​исключительно для информационных целей. Он не предлагается и не предназначен для использования в качестве юридического, налогового, инвестиционного, финансового или иного совета.