للمرة الأولى.. شركة تزعم التوصل لكلمة سر محفظة رقمية
اقتصادنا – وكالات
تدعي شركة Unciphered الناشئة في مجال الأمن السيبراني أنها كانت قادرة على اختراق محفظة الكريبتو Trezor T الشهيرة التي تصنعها Satoshi Labs.
في عرض توضيحي على YouTube . عرض Unciphered الاستخراج الواضح لعبارة المحفظة أو المفتاح الخاص . مستغلاً ثغرة أمنية تعتمد على الحيازة المادية للجهاز.
ليست هذه هي المرة الأولى التي يتمكن فيها Unciphered على ما يبدو من استرداد العبارات الأولية من محافظ الأجهزة. في فبراير ، أظهرت الشركة اختراقًا مشابهًا لمحفظة تم تصنيعها بواسطة OneKey ومقرها هونغ كونغ.
تعتبر محافظ الأجهزة . التي تخزن المفاتيح الخاصة دون اتصال بالإنترنت والمصممة لحماية أصول الكريبتو . آمنة للغاية بشكل عام. ومع ذلك ، قالت Unciphered أن آليات أمان الأجهزة الخاصة بنموذج Trezor T يمكن تجاوزها نظريًا إذا كان لدى الهاكر محفظة Trezor T في حوزته.
لن يكون نوع الاستغلال الذي يصوره Unciphered ممكنًا إلا إذا كان المهاجم لديه وصول مادي إلى محفظة الأجهزة.
في الفيديو ، قال فريق Unciphered إنه طور “استغلالًا داخليًا” سمح لهم باستخراج البرامج الثابتة للمحفظة. ادعى إريك ميشود ، الشريك المؤسس لـ Unciphered . أنه من خلال الاستفادة من شرائح GPU المتخصصة . تمكنوا في النهاية من كسر الكلمات السرية الخاصة بالمحفظة.
أوضح Michaud في الفيديو: “لقد حمّلنا البرامج الثابتة التي استخرجناها إلى مجموعات تكسير الحوسبة عالية الأداء. لدينا حوالي 10 وحدات معالجة رسومات . وبعد مرور بعض الوقت ، استخرجنا المفاتيح.”
زعم Michaud كذلك أن إصلاح هذا الاستغلال لـ Trezor T سيتطلب استدعاء جميع منتجاتهم.
استجابة تريزور أقرت تريزور بأن العرض التوضيحي لـ Unciphered كان له أوجه تشابه مع الثغرة الأمنية الخاصة بـ Read Protection Downgrade (RDP) التي اكتشفها باحثو Kraken Security Labs والتي أثرت على كل من Trezor One و Trezor Model T. وهذا يعني أن الثغرة الأمنية ليست جديدة.
قال توماش سوزانكا ، كبير مسؤولي التكنولوجيا في تريزور: “يبدو أن هذه ثغرة أمنية تسمى هجوم خفض مستوى RDP . تتطلب هجمات الرجوع إلى إصدار أقدم من RDP سرقة مادية لجهاز ومعرفة تكنولوجية متطورة للغاية ومعدات متطورة”. “حتى مع ما سبق . يمكن حماية Trezors بعبارة مرور قوية . والتي تضيف طبقة أخرى من الأمان تجعل الرجوع إلى إصدار أقدم من RDP عديم الفائدة.”
أضافت Trezor أنها اتخذت خطوات مهمة لحل المشكلة في المستقبل من خلال تطوير عنصر آمن جديد لمحافظ الأجهزة مع شركتها الشقيقة . Tropic Square.