Strokovnjaki v varnostnem laboratoriju kripto borze Kraken so javno izpostavili metodo – kako vdreti v strojno kripto denarnico Trezor One in Trezor Model T. Za vdor v strojno opremo potrebujete 15 minut fizičnega dostopa do Trezorja in napravo v vrednosti 75 ameriških dolarjev, pravijo.
Vdor je možen zaradi ranljivosti mikrokontrolerja, ki se uporablja v denarnicah Trezor. Dokler ranljivost ne bo odpravljena, priporočajo, da uporabniki ne omogočajo fizičnega dostopa do svojih naprav tretjim osebam, saj lahko to povzroči izgubo vseh kriptovalut, shranjenih v njih. Poleg tega bi morali odjemalci aktivirati geslo po shemi BIP39. Pri Kraken ugotavljajo, da to lahko oteži uporabo denarnice, vendar geslo ni shranjeno v njej in zato ščiti pred opisanim napadom.
Kraken je že prej opisal vdor v strojno kripto denarnico KeepKey. V svoji zadnji objavi pa strokovnjaki ugotavljajo, da je napad na Trezor zelo podoben prvemu – vse tovrstne naprave namreč uporabljajo isto družino čipov. Kot v primeru KeepKey-a je tudi vdor v Trezor izveden s pomočjo »napetostnega izpada« v čipu, kar odpira možnost črpanja »semenske fraze«. Koda PIN, ki se uporablja za zaščito te fraze, po mnenju strokovnjakov ne predstavlja težav za hekerja.
Predstavniki Trezorja so marca 2019 komentirali eno od različic takega napada. Ko so prepoznali obstoj ranljivosti, so opozorili na zapletenost takšnih napadov v praksi, a uporabnikom vseeno priporočili naj postavijo vsa možna gesla, da popolnoma preprečijo možnost nepooblaščenega dostopa.
Po besedah Krakna, čipi, ki se uporabljajo v teh denarnicah, prvotno niso bili zasnovani za shranjevanje občutljivih informacij in ne bi smeli biti edino sredstvo za zaščito kriptovalut.
Čeprav so bili pred strokovnjaki kripto borze Kraken izvedeni podobni poskusi vdora v Trezor (denimo ugotivitve Donjona), so pri Kraken prvi objavili popolne tehnične podrobnosti tega vdora.
Kaj ima kripto borza (z javno izpostavitvijo take ranljivosti) od tega, zaenkrat še ni jasno.
