Kraken Security Labs onthulde op vrijdag 31 januari dat Trezor hardware wallets kunnen worden gehackt om privésleutels te extraheren. Hoewel de procedure behoorlijk ingewikkeld is, beweert Kraken dat het slechts 15 minuten kost om fysieke toegang tot het apparaat te verkrijgen.
De procedure
De procedure vereist een fysieke interventie op de Trezor-portemonnee door de chip eruit te halen en op een speciaal apparaat te plaatsen of door een paar kritische connectoren te solderen.
De Trezor-chip moet vervolgens worden verbonden met een “glitcher-apparaat” dat signalen op specifieke momenten zou moeten verzenden. Deze breken de ingebouwde bescherming die voorkomt dat het geheugen van de chip wordt gelezen door externe apparaten.
De truc stelt de aanvaller in staat om kritische portefeuilleparameters te lezen, inclusief de seed van de private sleutel.
Hoewel de seed is gecodeerd met een PIN-gegenereerde sleutel, konden de onderzoekers de combinatie bruut forceren in slechts twee minuten.
No easy fix
Het beveiligingslek wordt veroorzaakt door de specifieke hardware die door Trezor wordt gebruikt, wat betekent dat het bedrijf het niet gemakkelijk kan repareren. Het zou de portemonnee volledig opnieuw moeten ontwerpen en alle bestaande modellen moeten terugroepen.
In de tussentijd drong Kraken er bij de gebruikers van Trezor en KeepKey op aan niemand toegang te geven tot de portemonnee.
Trezor’s reactie
In een reactie van Trezor minimaliseerde het team de impact van het beveiligingslek. Het bedrijf voerde aan dat de aanval zichtbare tekenen van geknoei zou vertonen vanwege de noodzaak om het apparaat te openen, en merkte ook op dat de aanval extreem gespecialiseerde hardware vereist om uit te voeren.
Ten slotte adviseerde het team gebruikers om de passphrase functie te activeren om tegen dergelijke aanvallen beschermt te zijn. Het wachtwoord wordt nooit op het apparaat opgeslagen omdat het aan de seed wordt toegevoegd om de privésleutel meteen te genereren. Kraken merkte ook op dat dit een haalbaar alternatief is, hoewel onderzoekers het “een beetje onhandig om in de praktijk te gebruiken” noemden.
De functie voegt ook aanzienlijke verantwoordelijkheid toe aan elke gebruiker. De wachtwoordzin moet complex genoeg zijn om ook niet gemakkelijk te worden geraden, en het vergeten van deze zin zou gebruikers volledig van hun geld uitsluiten.
Ben je benieuwd naar het laatste crypto nieuws uit de Benelux? Klik dan hier! Je kunt ons ook volgen op Telegram.
