Forscher haben eine neue Sicherheitslücke in einem Hardware-Wallet entdeckt. Dieses Mal hat Kraken Labs einen Fehler in mehreren beliebten Krypto-Wallets von Trezor gefunden.
Der Angriff dauert nur rund 15 Minuten. Betroffen sind sowohl die Trezor One- als auch die Trezor Model T-Wallets.
Durch die Schwachstelle wird dem Angreifer im Wesentlichen die verschlüsselte Seed-Phrase offengelegt, die auf dem angegriffenen Gerät gespeichert ist. Der Angreifer kann dann mit Brute Force die PIN zum Schutz des Verschlüsselung erzwingen und so verbundene Gelder verschieben.
Wie in einem Blog-Post von Kraken Security Labs ausführlich beschrieben, nutzt der Angriff bekannte Fehler in der Hardware des Geräts aus. Dies mache es schwierig, die Schwachstelle ohne ein vollständiges Redesign der Hardware angemessen zu beheben, so der Beitrag.
Im Posting heißt es, dass die Forscher Spezialwissen und „mehrere hundert Dollar an Ausrüstung“ nutzen, um in die Geräte einzubrechen. Sie merken jedoch an, dass die verwendeten Geräte für etwa 75 Dollar in Massenproduktion hergestellt werden könnten.
Trezor selbst hat öffentlich auf den Angriff reagiert. Das Unternehmen räumt das Risiko ein, das mit dem so genannten „Read Protection Downgrade“-Angriff verbunden ist.
Laut Trezors Beitrag benötigen die Angreifer Zugang zu dem Gerät sowie ein spezielles Gerät, um zeitgesteuerte Spannungsspitzen durch das Gerät zu senden. Einmal geknackt, kann der Angreifer die ein- bis neunstellige PIN durch softwareseitiges Ausprobieren schnell herausfinden. Der gesamte Prozess dauert je nach dem nur 15 Minuten.
Trezor und Kraken betonen erneut, wie wichtig es ist, die optionale Passphrase-Funktion zu nutzen, um die eigenen Gelder zu schützen. Sind die Trezor-Brieftaschen mit einer starken Passphrase geschützt, können Angreifer sie nicht durch die hier beschriebene Methode angreifen.
Die Kraken Security Labs haben Trezor den Fehler angeblich bereits im Oktober 2019 mitgeteilt. Seitdem hat das Unternehmen mit dem Hardware-Wallet-Unternehmen zusammengearbeitet, um die Schwachstelle offenzulegen.
Pavol Rusnak, CTO des Trezor-Herstellers SatoshiLabs, kommentiert den Angriff wie folgt:
„Wir freuen uns, dass die Kraken Security Labs ihre Ressourcen in die Verbesserung der Sicherheit des gesamten Bitcoin-Ökosystems investieren. Wir schätzen diese Art der verantwortungsvollen Offenlegung und Zusammenarbeit.“
In dem Beitrag von Trezor selbst spekuliert das Unternehmen, dass die Schwachstelle mit etwas zusammenhängt, was von Forschern der Konkurrenzfirma Ledger im vergangenen Jahr aufgedeckt wurde. Trezor sagt jedoch, dass man nicht bestätigen könne, ob die beiden Angriffe definitiv miteinander zusammenhängen, da die Ledger-Forscher nicht alle Details ihrer Bemühungen offengelegt hätten.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen