A empresa de segurança de Cripto Unciphered afirma ter capacidade de hackear fisicamente a carteira Trezor T

Uma empresa de profissionais de segurança cibernética especializada em recuperar Criptomoeda perdidas ou roubadas afirma ter encontrado uma maneira de hackear a popular carteira de hardware Trezor T quando ela estiver em sua posse física.

A Unciphered disse ao CoinDesk em uma extensa série de conversas e por e-mail que fez uso de uma “vulnerabilidade de hardware não corrigível com o chip STM32 que nos permite despejar o flash incorporado e os dados programáveis ​​​​únicos (OTP)”.

Tudo isso é bem técnico, mas a equipe fez uma demonstração de laboratório – e documentou em um vídeo – que conseguiu hackear uma carteira Trezor T fornecida pela CoinDesk e recuperar com sucesso nossa frase semente e pin. Não cifrado já hackeou a EthereumWallet e recuperaram a Cripto bloqueada, embora afirmem em seu site que eles “suporta todas as carteiras do mercado.”

Trezor disse ao CoinDesk que sua equipe T tinha detalhes suficientes sobre o ataque específico realizado pela Unciphered para responder completamente, mas observou que parecia um "ataque de downgrade de RDP", que foi sinalizado publicamente como um risco três anos atrás.

Um representante de imprensa do Maker da carteira de hardware disse que eles não tinham conhecimento de nenhuma tentativa da Unciphered de entrar em contato diretamente, embora, "conforme comunicado em nossoblogno início de 2020, os ataques de downgrade de RDP exigem roubo físico de um dispositivo e conhecimento tecnológico extremamente sofisticado e equipamentos avançados.”

Trezor acrescentou que “mesmo com o acima, Trezors pode ser protegido por uma senha forte, o que adiciona outra camada de segurança que torna um downgrade de RDP inútil”.

As carteiras de hardware estão repentinamente em foco como resultado da recente reação pública contra o Maker rival Ledger sobre sua proposta opcional “opção de recuperação”, o que enfureceu alguns usuários que entendiam que o dispositivo estava totalmente isolado. Muitos especialistas veteranos em segurança de Cripto recomendam carteiras de hardware como um lugar mais seguro para armazenar ativos do que mantê-los em bolsas — especialmente após o colapso da bolsa FTX de Sam Bankman-Fried no ano passado — mas as últimas revelações mostram que os dispositivos também T são infalíveis.

Leia Mais: Provedor de carteira Cripto Ledger atrasa serviço de recuperação de chaves após tumulto

A Unciphered disse que T confirmaria ou negaria se seu hack do Trezor T seria considerado um rebaixamento do RDP, citando "compromissos atuais e acordos de confidencialidade" que restringem a elaboração sobre "como essa cadeia de exploração funciona neste momento".

“Além disso, qualquer Aviso Importante técnica colocaria os clientes da Satoshilabs em risco potencial até que medidas como um novo chip sejam utilizadas além do STM32 em uso atual”, de acordo com a Unciphered.

A Unciphered destacou que, embora a Trezor esteja ciente de que o modelo Trezor T tem uma vulnerabilidade em seu chip STM32, a empresa não fez nada para consertar isso desde o esforço inicial para divulgar o risco.

“O fato é que, por meio deste artigo, eles estão tentando colocar a responsabilidade de proteger seu dispositivo no cliente, em vez de assumir a responsabilidade de admitir que seu dispositivo é fundamentalmente inseguro”, escreveu Unciphered em um e-mail para CoinDesk.

De acordo com Trezor: “Ao contrário do que a Unciphered afirma, a Trezor já tomou medidas significativas para resolver isso com o desenvolvimento doprimeiro elemento seguro auditável e transparente do mundopor meio da empresa irmã Tropic Square.”

Opções alternativas para carteiras de hardware

Vale ressaltar que o vetor de ataque do Unciphered só funciona com o dispositivo em posse física do hacker.

“A segurança é que a ameaça pode frequentemente vir de dentro de casa”, disse Nick Federoff, chefe de marketing da Unciphered. “Podemos ser nossos piores inimigos. Então, isso é uma grande parte disso.”

Quando um usuário configura uma carteira de hardware, a carteira gera um conjunto aleatório de 12 ou 24 palavras, conhecido como frase-semente, que permite acesso aos ativos na carteira.

Como parte do esforço da Unciphered para demonstrar sua capacidade, os executivos da empresa pediram à CoinDesk para adquirir uma nova carteira Trezor T , configurá-la com nossa própria frase semente e anotá-la em algum lugar seguro. Então, nós a enviamos por meio de uma opção de correspondência segura para o laboratório da Unciphered, onde eles então procederam ao hackeamento (gravação alguns passos em um vídeo) e, finalmente, conseguimos recuperar nossa frase semente e pin. A etapa extra de envolver o CoinDesk foi sugerida pela equipe Unciphered como uma forma de fornecer garantia de que o procedimento T foi falsificado ou que o dispositivo T foi comprometido por um proprietário anterior.

O dispositivo é vendido por US$ 219 na loja da empresasite.

A Unciphered reconheceu que não havia contatado a Trezor para notificá-los sobre a vulnerabilidade antes de tentar divulgá-la por meio de um artigo no CoinDesk; frequentemente, esses hackers “white hat” trabalharão de forma mais cooperativa. “A Unciphered não contatou a Trezor, seja por meio de nosso programa de Aviso Importante responsável ou de outra forma”, disse um representante de imprensa da Trezor.

A Unciphered disse à CoinDesk que não havia contatado a Trezor porque “nossas obrigações são com os consumidores e não com os fornecedores, que têm interesses em vender mais produtos, independentemente de quão vulneráveis ​​esses produtos tornam os clientes que os usam”.

Leia Mais: Carteiras de Cripto HOT x frias: quais são as diferenças?