Kraken Security Labs เปิดเผยเมื่อวันที่ 31 มกราคมว่า Trezor กระเป๋า hardware wallets สามารถถูกแฮ็กเพื่อดึง private keys ออกมาได้
Kraken อ้างว่าการโจมตีดังกล่าวใช้เวลาเพียง 15 นาทีเท่านั้น ด้วยการดึงชิปของตัวกระเป๋าออกมาและวางไว้บนอุปกรณ์พิเศษ หรือใช้การบัดกรีเชื่อมต่อกับจุดที่สำคัญ
ชิป Trezor นั้นจะต้องเชื่อมต่อกับ “glitcher device” ที่จะส่งสัญญาณในช่วงเวลาที่กำหนด โดยเจ้าสิ่งนี้จะทำลายระบบที่ป้องกันไม่ให้หน่วยความจำของชิปถูกอ่านโดยอุปกรณ์ภายนอก ช่วยให้ผู้โจมตีสามารถอ่านค่าพารามิเตอร์ของกระเป๋าเงิน รวมถึง private key และ Seed
แม้ว่า Seed นั้นจะถูกป้องกันด้วยรหัส PIN ที่สร้างขึ้น แต่นักวิจัยก็สามารถ brute force ได้ภายในเวลาเพียงสองนาที
ช่องโหว่นี้เกิดจากฮาร์ดแวร์เฉพาะของ Trezor ซึ่งหมายความว่าบริษัทจะไม่สามารถแก้ไขได้อย่างง่ายดาย โดยอาจจะต้องออกแบบกระเป๋าเงินใหม่ให้สมบูรณ์และเรียกคืนโมเดลที่มีอยู่เดิมทั้งหมด
ในระหว่างนี้ Kraken เตือนให้ผู้ใช้กระเป๋า Trezor และ KeepKey อย่าให้ใครเข้าถึงกระเป๋าเงินได้
ทางด้าน Trezor ได้ออกมากล่าวถึงประเด็นนี้ว่า การโจมตีดังกล่าวจะแสดงสัญญาณของการถูกงัดแงะที่มองเห็นได้ เนื่องจากต้องงัดอุปกรณ์รวมถึงต้องใช้ฮาร์ดแวร์พิเศษในจะดำเนินการ
Trezor แนะนำให้ผู้ใช้เปิดใช้งานคุณสมบัติ passphrase ของกระเป๋าเงินเพื่อป้องกันการโจมตีดังกล่าว เนื่องจาก passphrase จะไม่ถูกเก็บไว้ในอุปกรณ์แต่จะถูกเพิ่มลงใน seed เพื่อสร้าง private key
อย่างไรก็ตาม passphrase นั้นจะต้องมีความซับซ้อนมากพอที่จะไม่โดน brute forced ได้ง่ายเช่นกัน และหากตั้งรหัสที่ยากเกินไปในการจดจำ ก็อาจจะกลายเป็นการล็อคเงินของตัวเองไปแทน
ที่มา LINK
