Специалисты Kraken Security Labs сообщили, что нашли критическую уязвимость в аппаратных кошельках Trezor, открывающую возможность извлечения seed-фразы в течение 15 минут.

По словам представителей Kraken, для осуществления атаки злоумышленнику необходим физический доступ к устройству Trezor One или Trezor Model T и недорогое устройство, способное вызвать сбой в микроконтроллере из-за перепада напряжения. Стоимость такого устройства составляет примерно $75, отмечают специалисты.

Директор по безопасности Kraken Ник Перкоко подчеркнул, что в Trezor знают об этой уязвимости.

«Недостаток кроется в аппаратной части. Нельзя просто выпустить официальное обновление, которое исправило бы проблему у всех пользователей, — заявил Перкоко в разговоре с The Block. — Чтобы решить эту проблему, им, по сути, нужно выпустить новое устройство»

Вскоре после выхода поста в блоге Kraken, в Trezor сообщили, что атака не может быть совершена удаленно — лишь при наличии физического доступа к кошельку. Кроме того, для ее осуществления на устройстве должна быть активирована кодовая фраза-ключ стандарта BIP 39.

«Согласно нашему исследованию, физический доступ представляет собой риски для 6-9% пользователей, — подчеркнули разработчики Trezor. —Атаки, предполагающие физический доступ, не распространены широко»

Напомним, ранее специалисты Kraken рассказали об аналогичной уязвимости . По словам экспертов, в этих устройствах используется то же семейство чипов, что и в Trezor.

В Kraken уверены, что используемые в этих кошельках чипы изначально не предназначены для хранения секретной информации и, следовательно, не должны являться единственным средством защиты криптоактивов. Специалисты порекомендовали пользователям устанавливать кодовые фразы, чтобы максимально обезопасить себя от несанкционированного доступа.

Источник: forklog.com

Оставить комментарий

avatar
  Подписаться  
Уведомление о