Když zapomenete heslo či PIN ke svému hardwarovému úložišti kryptoměn, nemusí být ještě vše ztraceno. Americký počítačový technik Joe Grand zveřejnil video popisující, jak se mu podařilo získat zapomenutý PIN k české kryptopeněžence Trezor.
Nešlo o jednoduchý proces, příprava trvala několik měsíců a celý hack zahrnoval i riziko, že bude PIN definitivně ztracen. Grand ale nakonec uspěl a byl schopný majiteli zapomenutý PIN zjistit. Vyplatilo se to: v peněžence měl uloženy tokeny v ceně asi 2 miliony dolarů.
Expert přitom využil určitou slabinu: peněženka Trezor One při updatu firmwaru dočasně zapisovala PIN do operační paměti, aby údaj při přepisování softwaru trvale nesmazala. Na čip STM32, na kterém je peněženka postavena, je přitom možné podniknout útok, který sníží úroveň jeho zabezpečení a umožní útočníkovi přečíst data z RAM.
Podle firmy SatoshiLabs, která Trezor vyrábí, už takový útok není možný, protože chyba byla opravena updatem firmwaru v roce 2017. „Tento útok také vyžaduje plný fyzický přístup k zařízení a nemáme žádné informace o tom, že by došlo k jakémukoli ohrožení prostředků,“ reagovala například v diskusi pod videem.
Podle serveru The Verge, který o případu napsal, je ale stále možné popsaným způsobem zaútočit na používaný čip, jehož výrobce hardware odmítá změnit. Použití lépe zabezpečeného čipu v Trezoru brání podle SatoshiLabs přístup výrobců, kteří vyžadují podepsání smluv o mlčenlivosti (tzv. NDA). Na to ale firma používající v Trezoru open source software nechce přistoupit.
ČLÁNKY DO MAILU