Kraken consegue hackear carteiras de hardware da Trezor em 15 minutos
A divisão de segurança de Kraken revelou que toda a série de carteiras Trezor pode ser hackeada para roubar chaves privadas, apesar do método exigir hardware especializado.
A Kraken Security Labs revelou em 31 de janeiro de que as carteiras de hardware da Trezor e seus derivados podem ser invadidas para extrair chaves privadas. Embora o procedimento exija bastante desenvolvimento, Kraken alega que “precisou de apenas 15 minutos para ter acesso físico ao dispositivo”.
O ataque requer uma intervenção física na carteira da Trezor, extraindo seu chip e colocando-o em um dispositivo especial ou soldando alguns conectores importantes.
O chip Trezor deve então ser conectado a um “dispositivo de falha” que enviaria sinais em momentos específicos. Isso interrompe a proteção interna que impede que a memória do chip seja lida por dispositivos externos.
O truque permite que o invasor leia parâmetros críticos da carteira, incluindo o seed da chave privada.
Embora o seed seja criptografado com uma chave gerada por PIN, os pesquisadores foram capazes de forçar a combinação em apenas dois minutos.
A vulnerabilidade é causada pelo hardware específico usado pela Trezor, o que significa que será difícil para a empresa corrigir o erro. Seria necessário redesenhar completamente a carteira e recuperar todos os modelos existentes.
Enquanto isso, a Kraken pediu aos usuários da Trezor e da KeepKey que não permitam que ninguém acesse fisicamente a carteira.
Em uma resposta conjunta publicada pela Trezor, a equipe minimizou o impacto da vulnerabilidade. A empresa argumentou que o ataque mostraria sinais visíveis de violação devido à necessidade de abrir o dispositivo, além de observar que o ataque requer hardware extremamente especializado para ser executado.
Por fim, a equipe sugeriu que os usuários ativassem o recurso de senha da carteira para se proteger de tais ataques. A senha nunca é armazenada no dispositivo, pois é adicionada ao seed para gerar a chave privada em tempo real. Kraken também observou que essa é uma alternativa viável, embora os pesquisadores se refiram a ela como “um pouco desajeitada para usar na prática”.
O recurso também aumenta a responsabilidade de cada usuário. A frase secreta precisa ser complexa o suficiente para não ser facilmente forçada, e esquecê-la pode bloquear completamente o acesso do usuário.
O Cointelegraph procurou a Kraken para obter detalhes adicionais, mas não havia recebido uma resposta até o momento. Este artigo será atualizado à medida que mais informações estiverem disponíveis.