Сотрудники Kraken Security Labs обнаружили способ извлечения seed-фразы из аппаратных кошельков TREZOR One и Model T. Процедура взлома занимает всего 15 минут.
В твиттере эксперты указали, что имея доступ к устройству и специальный аппарат стоимостью ~$75 хакер может взломать кошелек примерно за 15 минут. В записи говорится, что разработчики Trezor давно знают о проблеме, однако не могут исправить эту уязвимость.
Главный сотрудник по безопасности Kraken Ник Перкоко сказал:
Недостаток кроется в аппаратном обеспечении устройства. Trezor не может исправить его при помощи обновления или патча. Для того, чтобы окончательно решить эту проблему, им необходимо выпускать новый кошелек.
Вскоре после публикации записи сотрудники Trezor ответили, что атаку невозможно провести, если у пользователя включена функция BIP 39 passphrase. В своем твиттере они написали:
Согласно нашим исследованиям, физический доступ к устройству грозит всего 6-9% пользователей. Тем не менее, если вы переживаете, что кто-то может получить доступ к вашему кошельку, мы рекомендуем использовать функцию passphrase.
Перкоко подтвердил слова Trezor:
Нам бы не удалось совершить атаку в случае, если бы функция passphrase была активна. Тем не менее, эта функция является дополнительной, многие пользователи даже не знают о ней. Рекомендация для владельцев Trezor - контролируйте доступ к вашему кошельку и пользуйтесь функцией passphrase.
Напомним, что в прошлом году эксперты из LEDGER опубликовали отчет, в котором было указано, что злоумышленник с физическим доступом к Trezor One и Trezor T может извлечь все данные из флэш-памяти и получить контроль над активами, хранящимися на устройстве.
По материалам www.theblockcrypto.com
