Siber güvenlik firması Unciphered, en büyük soğuk cüzdan üreticisi Trezor’un T model eserini hacklediğini bildirdi. Soğuk cüzdan hack’in mümkün olması, kripto para saklayıcılarına yönelik güvenlik problemlerini tekrar gündeme getiriyor.
Unciphered, Trezor donanım cüzdanını hacklediğini sav ediyor
24 Mayıs’ta Unciphered grubu, cüzdanın tohum sözlerini yahut özel anahtarını çıkardığı bir görüntü yayınladı. Kripto para kurtarma firması, dahili devre kartını çıkarmak için Trezor’u kesimlere ayırdı. Aygıtın donanım yazılımının çıkarılmasını sağlayan laboratuvar ekipmanına bağlandı.
JUST IN: Unciphered, a cybersecurity company has successfully breached the private key of the widely used Trezor T model hardware wallet.
Trezor says this hack only works with physical possession of the device and sophisticated tools.
— WhaleWire (@WhaleWire) May 24, 2023
Kripto para saklama hizmeti Trezor’ta güvenlik açığı ortaya çıktı
Unciphered, Trezor’un T model eserini ayıklama üzerinde çalışmak için güçlü GPU’lar kullandığını bildirdi. Unciphered’in kurucu ortağı Eric Michaud şunları söylüyor:
Çıkardığımız bellenimi yüksek performanslı bilgi süreç kırma kümelerimize yükledik. Yaklaşık 10 GPU’muz var… ve biraz vakit aldı ancak PIN kodunu çıkardık.
Ayrıca, geri alma sürecinin “şirket içinde geliştirdiğimiz bir hack ile” mümkün olduğunu belirtti. Grup ayrıyeten hack için özel kod yazmak zorunda kaldı ve bunun “son derece zor” olduğunu açıkladı.
Michaud, hack’in eser yazılımı güncellemeleriyle düzeltilemeyeceğini belirtti. “Bunu düzeltmek için Satoshi Labs’in tüm eserlerini geri çağırması gerekecek. Lakin muhtemelen bunu yapmayacaklar” dedi.
Trezor yanıt veriyor
Trezor, grubunun bu özel hücum hakkında kâfi detaya sahip olmadığını belirtti. 2020’nin başlarında genel olarak riskli olarak işaretlenen bir “RDP [Okuma Koruması] sürüm düşürme saldırısı” üzere göründüğünü de kelamlarına ekledi.
RDP Sürüm Düşürme saldırısı, Trezor One ve Trezor Model T donanım cüzdanlarında kullanılan STM32 mikroçiplerinin donanım güvenlik açığını hedefleyen kesin bir ataktır. Ayrıyeten atak, aygıtın fizikî olarak ele geçirilmesini, “son derece gelişmiş teknolojik bilgi ve gelişmiş ekipman” gerektiriyor.
Kripto para yatırımcıları endişelenmeli mi?
Trezor’un hack’lenebileceği haberi, rakip firma Ledger ile ilgili problemlerden yalnızca bir hafta sonra geldi. Kripto Twitter topluluğu, Ledger’ın Trezor lehine terk edilmesini isteyen yorumlarla çalkalandı. Fakat bu eğilim artık bastırıldı.
Ledger, geçen hafta tohum sözlerinin depolanması üzerinde denetim sağlayan bir kurtarma hizmeti başlattığı için ateş altında kalmıştı. Eski CEO, aygıtın sağlam olmadığını kabul etti. Ayrıyeten, mevcut CEO Pascal Gauthier, firmanın son yanılgısı için özür diledi. Soğuk cüzdanların artık hack’lenebildiği ispatlansa da, bunun için üst seviye ekipmanlar gerektiğini belirtelim.
Kriptokoin.com olarak geçen hafta Ledger etrafında meydana gelen gelişmelere bu yazıda yer verdik. Şirketin tohum sözleri üzerinde bir ‘kurtarma hizmeti’ başlatması, topluluk ortasında telaşlara neden oldu. Bir birçok bu kararın daha fazla güvenlik sorunu getireceğini kestirim ediyor.
