In einem auf Youtube veröffentlichten Video hackt die Cybersecurity Firma Unciphered eine Trezor Hardware-Wallet Modell T. Aber wie ist das überhaupt möglich?
Am 24. Mai veröffentlichte das Team der Krypto Recovery Firma ein Video, in dem es den Seed Phrase einer Trezor Wallet extrahiert.
Für das Gelingen dieses Vorhabens mussten die Hacker das Gerät auseinander nehmen und die interne Platine entfernen. Anschließend konnten sie es an die Laborausrüstung anschließen und die Firmware extrahieren.
Sicherheitslücke bei Trezor aufgedeckt?
Für die Extraktion nutzte das Team leistungsstarke GPUs (Grafikverarbeitungseinheiten). Eric Michaud, Mitbegründer von Unciphered, meinte:
“Wir haben die extrahierte Firmware auf unsere Hochleistungs-Computing-Cracking-Cluster hochgeladen. Wir haben etwa 10 GPUs … und es hat ein bisschen gedauert, aber wir haben die PIN extrahiert.”
Wie er weiter erklärte, sei der Exploit durch eine eigens entwickelte Strategie möglich gewesen. Dafür musste das Team sogar eigenen Code schreiben, was Michaud als extrem schwierig beschrieb.
Ihm zufolge sei es nicht möglich, das Problem durch Firmware-Updates zu beheben:
“Um diese Schwachstelle auszubessern, müsste Satoshi Labs alle Produkte zurückrufen. Das werden sie aber wahrscheinlich nicht tun.”
In einer Stellungnahme meinte das Trezor Team, es kenne nicht genügend Details, um diesen speziellen Hack zu beurteilen. Allerdings scheint es sich um einen “RDP [Read Protection]-Downgrade-Angriff” zu handeln. Dieser wurde bereits Anfang 2020 öffentlich als Risiko eingestuft, damals hieß es:
“Der RDP-Downgrade-Angriff ist sehr präzise und zielt auf die Hardware-Schwachstelle der STM32-Mikrochips ab. Diese werden in den Hardware-Wallets Trezor One und Trezor Modell T verwendet.”
Zudem erfordere der Angriff neben dem physischen Diebstahl des Geräts auch extrem anspruchsvolle technologische Kenntnisse und fortschrittliche Ausrüstung.
Sicherheit von Hardware-Wallets auf dem Prüfstand
Anfang des Jahres kündigten Ledger sowie Trezor große Innovationen für ihre Produktpalette an. Unter anderem ging es dabei um Modernität und einfache Handhabung, aber vielleicht sollten die Unternehmen zunächst einmal die Sicherheit ihrer Geräte überarbeiten.
Erst vor einer Woche war Ledger nämlich ebenfalls in einen PR-Schlamassel verwickelt. Infolgedessen wurde Krypto-Twitter nur so mit Kommentaren überschwemmt. Die Nutzer:innen waren der nahezu einhelligen Meinung, das Unternehmen solle den Platz für Trezor freimachen, aber diese Forderung hat nun wohl auch ein Ende.
Ledger geriet aufgrund eines neuen Wiederherstellungsdienstes stark in die Kritik. Dieser könnte dem Unternehmen schließlich die Kontrolle über gespeicherte Seed-Phrases geben.
Als dies bekannt wurde, meldete sich der ehemalige CEO, Éric Larchevêque, zu Wort und gestand, dass die Wallet nicht vertrauenswürdig sei. Daraufhin entschuldigte sich auch der aktuelle CEO, Pascal Gauthier, für diesen Fehler.
Offensichtlich sind selbst Hardware-Wallets nicht zu 100 % sicher, auch wenn die Marketingabteilungen der Hersteller dies gerne behaupten.
Folge uns für noch mehr Informationen rund um Krypto auf:
Twitter oder tritt unserer Gruppe auf Telegram bei.
Trusted
Haftungsausschluss
In Übereinstimmung mit den Richtlinien des Trust Project verpflichtet sich BeInCrypto zu einer unvoreingenommenen, transparenten Berichterstattung. Dieser Artikel zielt darauf ab, genaue und aktuelle Informationen zu liefern. Den Lesern wird jedoch empfohlen, die Fakten unabhängig zu überprüfen und einen Fachmann zu konsultieren, bevor sie auf der Grundlage dieses Inhalts Entscheidungen treffen.
