Kraken Security Labs hat am 31. Januar enthüllt, dass die Hardware-Wallets von Trezor und deren Derivate gehackt werden und private Schlüssel entnommen werden können. Obwohl das Verfahren recht aufwendig sei, so Kraken, erfordere das "einen physischen Zugang zu dem Gerät für nur 15 Minuten".
Der Angriff erfordert einen physischen Eingriff an der Trezor-Wallet. Dabei muss man entweder den Chip herausziehen und ihn auf ein spezielles Gerät legen oder ein paar wichtige Anschlüsse verlöten.
Der Trezor-Chip muss dann an ein "Glitcher-Gerät" angeschlossen werden, das zu bestimmten Zeitpunkten Signale zu diesem sendet. Diese durchbrechen den eingebauten Schutzmechanismus, der verhindert, dass der Speicher des Chips von externen Geräten gelesen werden kann.
Mit diesem Trick können Angreifer wichtige Parameter der Wallet lesen, darunter auch den privaten Schlüssel-Seed.
Obwohl der Seed mit einem PIN-Schlüssel verschlüsselt ist, gelang es den Forschern, die Kombination in nur zwei Minuten mittels Brute-Force zu ermitteln.
Die Schwachstelle liegt in der von Trezor verwendeten Hardware. Das bedeutet, dass das Unternehmen diese nicht so einfach beheben kann. Das Unternehmen müsste die Wallet völlig neu gestalten und alle vorhandenen Modelle zurückrufen.
Unterdessen rief Kraken die Nutzer von Trezor- und KeepKey-Wallets dazu auf, niemandem einen physischen Zugriff auf die Wallet zu gewähren.
Das Trezor-Team reagierte und spielte die Auswirkungen dieser Schwachstelle herunter. Das Unternehmen erklärte, dass der Angriff sichtbare Anzeichen von Manipulation hinterlassen würde, da das Gerät geöffnet werden müsse. Es hieß auch, dass für den Angriff eine äußerst spezielle Hardware erforderlich sei.
Abschließend schlug das Team den Nutzern vor, die Passphrase-Funktion der Wallet zu aktivieren, um sich vor solchen Angriffen zu schützen. Das Passwort wird niemals auf dem Gerät gespeichert, da es zusätzlich zum Seed verwendet wird, um den privaten Schlüssel damit zu generieren. Kraken bemerkte auch, dass dies eine praktische Alternative sei. Die Forscher bezeichneten diese Methode dennoch als "etwas klobig in der Praxis".
Das Feature bringt auch eine erhebliche Verantwortung für die Benutzer mit sich. Die Passphrase muss komplex genug sein, um nicht per Brute-Force geknackt werden zu können. Vergisst ein Nutzer seine Passphrase, hat er keinen Zugang mehr zu seinem Geld.
Cointelegraph bat Kraken um zusätzliche Informationen, aber bis Redaktionsschluss lag noch keine Antwort vor. Der Artikel wird aktualisiert, sobald weitere Informationen vorliegen.
Melde dich bei unseren Sozialen Medien an, um nichts zu verpassen: X, YouTube, Instagram und Telegram – aktuelle Nachrichten, Analysen, Expertenmeinungen und Interviews mit Fokus auf die DACH-Region.
