Экспертам Kraken удалось за 15 минут извлечь seed-фразу из биткоин-кошелька Trezor

Специалисты Kraken Security Labs сообщили, что нашли критическую уязвимость в аппаратных кошельках Trezor, открывающую возможность извлечения seed-фразы в течение 15 минут.

🚨It took Kraken Security Labs just 15 minutes to hack both of @trezor’s crypto hardware wallets.

Here’s how we did it and what it means if you’re a user: https://t.co/5betNtDnD0

— Kraken Exchange (@krakenfx) January 31, 2020

По словам представителей Kraken, для осуществления атаки злоумышленнику необходим физический доступ к устройству Trezor One или Trezor Model T и недорогое устройство, способное вызвать сбой в микроконтроллере из-за перепада напряжения. Стоимость такого устройства составляет примерно $75, отмечают специалисты.

Директор по безопасности Kraken Ник Перкоко подчеркнул, что в Trezor знают об этой уязвимости.

«Недостаток кроется в аппаратной части. Нельзя просто выпустить официальное обновление, которое исправило бы проблему у всех пользователей, — заявил Перкоко в разговоре с The Block. — Чтобы решить эту проблему, им, по сути, нужно выпустить новое устройство»

Вскоре после выхода поста в блоге Kraken в Trezor сообщили, что атака не может быть совершена удаленно и полностью исключается включением функции Passphrase.

Thank you! Trezor hardware wallet users are immune to this attack if they use a Passphrase feature.https://t.co/YjJFQ5FUd1

— Trezor (@Trezor) January 31, 2020

«Согласно нашему исследованию, физический доступ представляет собой риски для 6-9% пользователей, — подчеркнули разработчики Trezor. — Атаки, предполагающие физический доступ, не распространены широко»

Напомним, ранее специалисты Kraken рассказали об аналогичной уязвимости в аппаратных кошельках KeepKey. По словам экспертов, в этих устройствах используется то же семейство чипов, что и в Trezor.

В Kraken уверены, что используемые в этих кошельках чипы изначально не предназначены для хранения секретной информации и, следовательно, не должны являться единственным средством защиты криптоактивов. Специалисты порекомендовали пользователям устанавливать кодовые фразы, чтобы максимально обезопасить себя от несанкционированного доступа.

Подписывайтесь на новости ForkLog в Twitter!