Siber güvenlik firması Unciphered, en büyük soğuk cüzdan üreticisi Trezor’un T model eserini hacklediğini bildirdi. Soğuk cüzdan hack’in mümkün olması, kripto para saklayıcılarına yönelik güvenlik problemlerini tekrar gündeme getiriyor.
Unciphered, Trezor donanım cüzdanını hacklediğini argüman ediyor
24 Mayıs’ta Unciphered grubu, cüzdanın tohum sözlerini yahut özel anahtarını çıkardığı bir görüntü yayınladı. Kripto para kurtarma firması, dahili devre kartını çıkarmak için Trezor’u modüllere ayırdı. Aygıtın donanım yazılımının çıkarılmasını sağlayan laboratuvar ekipmanına bağlandı.
https://twitter.com/WhaleWire/status/1661440952664481792
Kripto para saklama hizmeti Trezor’ta güvenlik açığı ortaya çıktı
Unciphered, Trezor’un T model eserini ayıklama üzerinde çalışmak için güçlü GPU’lar kullandığını bildirdi. Unciphered’in kurucu ortağı Eric Michaud şunları söylüyor:
Çıkardığımız bellenimi yüksek performanslı bilgi süreç kırma kümelerimize yükledik. Yaklaşık 10 GPU’muz var… ve biraz vakit aldı fakat PIN kodunu çıkardık.
Ayrıca, geri alma sürecinin “şirket içinde geliştirdiğimiz bir hack ile” mümkün olduğunu belirtti. Grup ayrıyeten hack için özel kod yazmak zorunda kaldı ve bunun “son derece zor” olduğunu açıkladı.
Michaud, hack’in eser yazılımı güncellemeleriyle düzeltilemeyeceğini belirtti. “Bunu düzeltmek için Satoshi Labs’in tüm eserlerini geri çağırması gerekecek. Lakin muhtemelen bunu yapmayacaklar” dedi.
Trezor yanıt veriyor
Trezor, takımının bu özel atak hakkında kâfi detaya sahip olmadığını belirtti. 2020’nin başlarında genel olarak riskli olarak işaretlenen bir “RDP [Okuma Koruması] sürüm düşürme saldırısı” üzere göründüğünü de kelamlarına ekledi.
RDP Sürüm Düşürme saldırısı, Trezor One ve Trezor Model T donanım cüzdanlarında kullanılan STM32 mikroçiplerinin donanım güvenlik açığını hedefleyen kesin bir hücumdur. Ayrıyeten hücum, aygıtın fizikî olarak ele geçirilmesini, “son derece gelişmiş teknolojik bilgi ve gelişmiş ekipman” gerektiriyor.
Kripto para yatırımcıları endişelenmeli mi?
Trezor’un hack’lenebileceği haberi, rakip firma Ledger ile ilgili sıkıntılardan yalnızca bir hafta sonra geldi. Kripto Twitter topluluğu, Ledger’ın Trezor lehine terk edilmesini isteyen yorumlarla çalkalandı. Fakat bu eğilim artık bastırıldı.
Ledger, geçen hafta tohum sözlerinin depolanması üzerinde denetim sağlayan bir kurtarma hizmeti başlattığı için ateş altında kalmıştı. Eski CEO, aygıtın sağlam olmadığını kabul etti. Ayrıyeten, mevcut CEO Pascal Gauthier, firmanın son kusuru için özür diledi. Soğuk cüzdanların artık hack’lenebildiği ispatlansa da, bunun için üst seviye ekipmanlar gerektiğini belirtelim.
Kriptokoin.com olarak geçen hafta Ledger etrafında meydana gelen gelişmelere bu yazıda yer verdik. Şirketin tohum sözleri üzerinde bir ‘kurtarma hizmeti’ başlatması, topluluk ortasında kaygılara neden oldu. Bir birçok bu kararın daha fazla güvenlik sorunu getireceğini iddia ediyor.
