هک کیف پول سخت‌افزاری Trezor توسط یک شرکت امنیت سایبری

شرکت امنیت سایبری Unciphered ویدئویی را منتشر کرده که در آن مدعی است کیف پول سخت‌افزاری Trezor را هک کرده است. این شرکت ادعا می‌کند که به امنیت کیف پول کریپتویی محبوب مدل Trezor T نفوذ کرده است و ویدیویی از استخراج عبارات یا کلید خصوصی کیف پول منتشر کرد.

شرکت امنیت سایبری Unciphered از GPUهای قدرتمند (واحدهای پردازش گرافیکی) برای کار بر روی استخراج عبارات کلیدی استفاده کرده است. اریک میچاد، یکی از بنیانگذاران این شرکت گفت:

ما سیستم افزاری (Firmware) را که استخراج کرده‌ایم، در کلاسترهای کرک محاسباتی با کارایی بالا آپلود کردیم. ما حدود 10 پردازنده گرافیکی داریم و کمی طول کشید؛ اما پین را استخراج کردیم. تیم همچنین مجبور شد برای دستیابی به هک کد سفارشی بنویسد، که بسیار سخت است.

میچاد اظهار داشت که این اکسپلویت با به‌روزرسانی‌های سیستم افزار قابل‌رفع نیست. او گفت:

برای رفع این مشکل، Satoshi Labs باید همه محصولات خود را فراخوانی کند، کاری که احتمالاً انجام نخواهد داد.

Trezor به این گزارش پاسخ داد و اظهار داشت که تیمش جزئیات کافی در مورد این هک خاص ندارد. این سایت اضافه کرد که به نظر می‌رسد یک حمله کاهش رتبه RDP [Read Protection] است که در اوایل سال ۲۰۲۰ به‌عنوان یک خطر عمومی علامت‌گذاری شد.

در آن زمان اعلام شد:

حمله RDP Downgrade آسیب‌پذیری سخت‌افزار ریزتراشه‌های STM32 مورد استفاده در کیف پول‌های سخت‌افزار Trezor One و Trezor Model T را هدف قرار می‌دهد.

علاوه بر این، این حمله مستلزم سرقت فیزیکی دستگاه، دانش بسیار پیچیده تکنولوژیکی و تجهیزات پیشرفته است.

این افشاگری تنها یک هفته پس از آن صورت می‌گیرد که شرکت رقیب لجر درگیر داستان دیگری بوده است. در آن زمان فعالین توییتر خواستار کنار گذاشتن لجر و استفاده از Trezor بودند، اما این روند اکنون متوقف شده است.

لجر هفته گذشته به دلیل راه‌اندازی یک سرویس بازیابی که به آن کنترل بر ذخیره عبارات کلیدی را می‌داد، مورد انتقاد قرار گرفت. مدیرعامل سابق اعتراف کرد که دستگاه قابل اعتماد نیست و مدیرعامل فعلی، پاسکال گوتیه، به خاطر آخرین خطای شرکت عذرخواهی کرد.

به نظر می‌رسد که علی‌رغم ادعای بخش بازاریابی سازندگان، هیچ کیف پول سخت‌افزاری 100٪ ایمن نیست.