Mandee

Notícias sobre Bitcoin, Criptomoedas e Blockchain

Kraken consegue hackear carteiras de hardware da Trezor em 15 minutos

por · 31 de janeiro de 2020

A divisão de segurança de Kraken revelou que toda a série de carteiras Trezor pode ser hackeada para roubar chaves privadas, apesar do método exigir hardware especializado.

A Kraken Security Labs revelou em 31 de janeiro de que as carteiras de hardware da Trezor e seus derivados podem ser invadidas para extrair chaves privadas. Embora o procedimento exija bastante desenvolvimento, Kraken alega que “precisou de apenas 15 minutos para ter acesso físico ao dispositivo”.

O ataque requer uma intervenção física na carteira da Trezor, extraindo seu chip e colocando-o em um dispositivo especial ou soldando alguns conectores importantes.

O chip Trezor deve então ser conectado a um “dispositivo de falha” que enviaria sinais em momentos específicos. Isso interrompe a proteção interna que impede que a memória do chip seja lida por dispositivos externos.

O truque permite que o invasor leia parâmetros críticos da carteira, incluindo o seed da chave privada.

Embora o seed seja criptografado com uma chave gerada por PIN, os pesquisadores foram capazes de forçar a combinação em apenas dois minutos.

A vulnerabilidade é causada pelo hardware específico usado pela Trezor, o que significa que será difícil para a empresa corrigir o erro. Seria necessário redesenhar completamente a carteira e recuperar todos os modelos existentes.

Enquanto isso, a Kraken pediu aos usuários da Trezor e da KeepKey que não permitam que ninguém acesse fisicamente a carteira.

Em uma resposta conjunta publicada pela Trezor, a equipe minimizou o impacto da vulnerabilidade. A empresa argumentou que o ataque mostraria sinais visíveis de violação devido à necessidade de abrir o dispositivo, além de observar que o ataque requer hardware extremamente especializado para ser executado.

Por fim, a equipe sugeriu que os usuários ativassem o recurso de senha da carteira para se proteger de tais ataques. A senha nunca é armazenada no dispositivo, pois é adicionada ao seed para gerar a chave privada em tempo real. Kraken também observou que essa é uma alternativa viável, embora os pesquisadores se refiram a ela como “um pouco desajeitada para usar na prática”.

recurso também aumenta a responsabilidade de cada usuário. A frase secreta precisa ser complexa o suficiente para não ser facilmente forçada, e esquecê-la pode bloquear completamente o acesso do usuário.

O Cointelegraph procurou a Kraken para obter detalhes adicionais, mas não havia recebido uma resposta até o momento. Este artigo será atualizado à medida que mais informações estiverem disponíveis.

Você pode gostar...