Новости

Специалисты Kraken Security научились взламывать аппаратные кошельки Trezor за 15 минут

Ева Литвиненко

Специалисты Kraken Security научились взламывать аппаратные кошельки Trezor за 15 минут

Исследователи кибербезопасности Kraken Security Labs продемонстрировали широкой публике метод взлома популярных аппаратных кошельков Trezor One и Trezor Model T. Дыра в безопасности позволяет злоумышленникам получить доступ к криптовалюте наивного пользователя всего за 15 минут.

Но есть и хорошие новости — для манипулирования микроконтроллером устройства необходимо получить физический доступ к кошельку. Это немного успокаивает — ведь смысл аппаратных кошельков как раз в том, что с них невозможно похитить средства через интернет.

Тем не менее, брешь в безопасности, обнаруженная Kraken Security, обнажила серьезные проблемы разработки устройства. Для того чтобы завладеть парольной seed-фразой пользователя злоумышленнику понадобится выполнить два условия: получить физический доступ к кошельку на 15 минут и применить несложный прибор, рыночную стоимость которого специалисты оценивают всего в каких-то $75. Устройство вызывает сбой в микроконтроллере из-за перепада напряжения. В результате нехитрых действий злоумышленник получает возможность взломать устройство, получить заветную seed-фразу и доступ ко всем криптовалютным средствам.

Плохо даже не то, что кошелек взламывается за 15 минут, а то, что это происходит за счет микроконтроллера. Команде разработчиков Trezor остается только посыпать головы пеплом и модернизировать устройство. Кошельки небезопасны. И с этим ничего не поделаешь. «К сожалению, команде Trezor будет сложно что-либо сделать с этой уязвимостью без переработки оборудования», – считают эксперты.

В качестве превентивной меры пользователям кошелька настойчиво рекомендовали активировать кодовую фразу по схеме BIP39 в клиенте Trezor. Однако, обезопасить себя полностью не получится.

Trezor One и Trezor Model T не первые жертвы дотошных исследователей из Kraken. В декабре 2019 года подобная уязвимость была обнаружена в аппаратном кошельке KeepKey. Перепад напряжения в микроконтроллере этого кошелька дает возможность исследователю получить доступ к seed-фразе, защищенной 1-9-значным PIN-кодом, взломать который не составит труда (специалисты Kraken Security Labs охарактеризовали этот взлом как «тривиальный»).