Trezor nie taki bezpieczny...

in polish •  2 years ago

Piekło zamarzło.



Okazuje się, że najbardziej bezpieczny sposób przechowywania BTC... wcale nie jest taki bezpieczny.
Problem z designem Trezora jest straszny, bez wymiany urządzenia właściwie nie da się usunąć wykrytych podatności.

Ale o co chodzi?

Okazuje się, że Trezor zbudowany jest w sposób sprzeczny z logicznym myśleniem. Otóż zaraz po podłączeniu do zasilania pamięć urządzenia zapełniana jest danymi, w skład których wchodzi seed (jako plain text!!!), pin do urządzenia oraz jego nazwa.

Producent Trezora popełnił kilka błędów:

  • użycie chipa na którym wcześniej wykryto podatność na atak
  • wyprowadzenie deweloperskiej nóżki "reset" w urządzeniach produkcyjnych
  • ładowanie do pamięci seeda w "czystej" formie

Co robić? Jak żyć?

Moim zdaniem, jedynym co może nas jeszcze ratować jest użycie dodatkowego hasła. Portfel https://wallet.trezor.io/ ma opcję używania dodatkowego (oprócz seeda) ciągu znaków do generowania adresów. Ponieważ ta informacja NIE jest przechowywana w urządzeniu, nie można jej uzyskać w opisywanych atakach.

Moja rada

Jeżeli chcemy używać Trezora hasło jest niezbędne.

W przypadku utraty urządzenia można bez większych problemów wyciągnąć seeda i uzyskać dostęp do wszystkich środków. Jeżeli więc używamy trezora bez hasła, koniecznie należy założyć hasło (nawet na tym samym seedzie - nie ma to znaczenia), i przelać wszystkie środki na nowo wygenerowane adresy.

UWAGA

Hasła NIE można W ŻADEN sposób odzyskać! Jeżeli je zapomnicie - NIGDY nie odzyskacie środków.

Opis całego ataku [ENG]:
https://medium.com/@Zero404Cool/trezor-security-glitches-reveal-your-private-keys-761eeab03ff8

ps.
Sam mam trezora...





Authors get paid when people like you upvote their post.
If you enjoyed what you read here, create your account today and start earning FREE STEEM!
Sort Order:  

"Piekło zamarzło", Trezor ma luki w bezpieczeństwie a BCH szybuje w górę... Świat się kończy ;D

Chcę zobaczyć minę tych wszystkich, który stawali za Trezorem rękami i nogami :)

Co do procesora to chyba wyszło ostatecznie, że jest bezpieczny z tego co pamiętam (w sensie tak trezor powiedział xd)

Zawsze mnie to zastanawiało Trezor czy Ledger? Po tym co przeczytałem pytanie wydaje się być jeszcze bardziej uzasadnione.