گروه بازار دیجیتال بازارنیوز: آزمایشگاههای امنیتی کراکن در ۳۱ ژانویه اعلام کردند که کیف پولهای سخت افزاری ترزور Trezor و مشتقات آن میتوانند به منظور استخراج کلیدهای خصوصی هک شوند. اگرچه این کار پیچیده است، اما کراکن مدعی شد که این فرآیند فقط به دسترسی فیزیکی ۱۵ دقیقهای به دستگاه نیاز دارد.
این حمله نیاز به یک مداخلهی فیزیکی روی کیف پول ترزور برای خارج کردن تراشهی آن و قرار دادن آن روی یک دستگاه خاص با لحیم کردن یک جفت اتصال دهندهی حساس نیاز دارد. تراشهی ترزور باید بعد از آن به دستگاهی متصل شود که سیگنالهایی را در زمانهای خاص ارسال کند.
این کار محافظت داخلی دستگاه را که از خوانده شدن حافظهی تراشه توسط دستگاههای خارجی جلوگیری میکند، از بین میبرد. این ترفند به مهاجم اجازه میدهد که پار امترهای مهم کیف پول شامل کلید خصوصی را بخواند. گرچه این کلید با یک کلید تولید شده با PIN رمز گذاری شده است، اما مهاجمان قادر به انجام حمله دیگری برای رمز گشایی در تنها دو دقیقه هستند.
این آسیب پذیری ناشی از سخت افزار خاص مورد استفادهی ترزور است، بدین معنی که این شرکت نمیتواند به راحتی آنرا برطرف کند. برای رفع این آسیب پذیری، این شرکت باید به طور کامل این کیف پول را دوباره طراحی کند و مدلهای موجود را جمع آوری نماید.
در همین حال کراکن از کاربران ترزور و کیپ کی Keep Key خواست که کیف پول خود را در دسترس افراد دیگر قرار ندهند. طبق پاسخ منتشر شده توسط ترزور، این تیم تاثیر این آسیب پذیری را به حداقل رسانده است. این شرکت استدلال کرد که این حمله نشانههای قابل توجهی از دستکاری را نشان میدهد که نیاز به بازکردن دستگاه دارد، در حالی که یادآور شده این حمله به طور کلی به سخت افزار ویژهای نیز برای انجام نیاز دارد. در نهایت این تیم به کاربران گفت که ویژگی "عبارت عبور" این کیف پول را برای محافظت از این حملات فعال کنند و کلمهی عبور را هرگز روی دستگاه ذخیره نکنند. این ویژگی مسئولیت قابل توجهی برای هر کاربر دراد، زیرا عبارت عبور باید به اندازه کافی پیچیده باشد که ممکن است باعث فراموشی شود و کیف پول به طور کامل برای کاربران قفل شود.