České hardwarové peněženky Trezor One a Trezor Model T od společnosti SatoshiLabs mají vážný bezpečnostní problém. Kraken Security Labs upozornili, že je možné z peněženek získat seed. Kraken zvládl cracknout šifrovaný seed chráněný číselným PIN kódem.
Útok se spoléhá na takzvaná voltage glitching. „Náš výzkum zranitelnosti vyžadoval určité know-how a několik stovek dolarů investovaných do vybavení, ale odhadujeme, že my (nebo kriminálníci) budeme moci masově produkovat uživatelsky přívětivá zařízení s cenou kolem 75 dolarů,“ uvádí skupina.
Autoři útoku dále informují, že jsou využívány vady zabudované přímo v mikrokontroleru Trezoru. „To bohužel znamená, pro tým Trezoru je velice obtížné se zranitelností cokoliv udělat bez hardwarového přepracování.“
Útok vyžaduje fyzickou přítomnost peněženky a trvá asi patnáct minut. Jednou z forem ochrany je tak nikomu jí nikdy nepůjčovat. Druhou radou je pak nastavení BIP30 Passphrase v Trezor Clientovi.
Kraken autory Trezoru o útoku informoval. SatoshiLabs také dříve na bezpečnostní problematiku upozorňovali. Více je možné zjistit na blogu či přiloženém videu.
