Unciphered Bu Kripto Para Platformunu Hackledi: Açık Var!

Siber güvenlik firması Unciphered, en büyük soğuk cüzdan üreticisi Trezor’un T model eserini hacklediğini bildirdi. Soğuk cüzdan hack’in mümkün olması, kripto para saklayıcılarına yönelik güvenlik meselelerini tekrar gündeme getiriyor.

Unciphered, Trezor donanım cüzdanını hacklediğini argüman ediyor

24 Mayıs’ta Unciphered grubu, cüzdanın tohum sözlerini yahut özel anahtarını çıkardığı bir görüntü yayınladı. Kripto para kurtarma firması, dahili devre kartını çıkarmak için Trezor’u modüllere ayırdı. Aygıtın donanım yazılımının çıkarılmasını sağlayan laboratuvar ekipmanına bağlandı.

https://twitter.com/WhaleWire/status/1661440952664481792

Kripto para saklama hizmeti Trezor’ta güvenlik açığı ortaya çıktı

Unciphered, Trezor’un T model eserini ayıklama üzerinde çalışmak için güçlü GPU’lar kullandığını bildirdi. Unciphered’in kurucu ortağı Eric Michaud şunları söylüyor:

Çıkardığımız bellenimi yüksek performanslı bilgi süreç kırma kümelerimize yükledik. Yaklaşık 10 GPU’muz var… ve biraz vakit aldı lakin PIN kodunu çıkardık.

Ayrıca, geri alma sürecinin “şirket içinde geliştirdiğimiz bir hack ile” mümkün olduğunu belirtti. Takım ayrıyeten hack için özel kod yazmak zorunda kaldı ve bunun “son derece zor” olduğunu açıkladı.

Michaud, hack’in eser yazılımı güncellemeleriyle düzeltilemeyeceğini belirtti. “Bunu düzeltmek için Satoshi Labs’in tüm eserlerini geri çağırması gerekecek. Ancak muhtemelen bunu yapmayacaklar” dedi.

Trezor yanıt veriyor

Trezor, takımının bu özel taarruz hakkında kâfi detaya sahip olmadığını belirtti. 2020’nin başlarında genel olarak riskli olarak işaretlenen bir “RDP [Okuma Koruması] sürüm düşürme saldırısı” üzere göründüğünü de kelamlarına ekledi.

RDP Sürüm Düşürme saldırısı, Trezor One ve Trezor Model T donanım cüzdanlarında kullanılan STM32 mikroçiplerinin donanım güvenlik açığını hedefleyen kesin bir ataktır. Ayrıyeten atak, aygıtın fizikî olarak ele geçirilmesini, “son derece gelişmiş teknolojik bilgi ve gelişmiş ekipman” gerektiriyor.

Kripto para yatırımcıları endişelenmeli mi?

Trezor’un hack’lenebileceği haberi, rakip firma Ledger ile ilgili meselelerden yalnızca bir hafta sonra geldi. Kripto Twitter topluluğu, Ledger’ın Trezor lehine terk edilmesini isteyen yorumlarla çalkalandı. Fakat bu eğilim artık bastırıldı.

Ledger, geçen hafta tohum sözlerinin depolanması üzerinde denetim sağlayan bir kurtarma hizmeti başlattığı için ateş altında kalmıştı. Eski CEO, aygıtın muteber olmadığını kabul etti. Ayrıyeten, mevcut CEO Pascal Gauthier, firmanın son yanılgısı için özür diledi. Soğuk cüzdanların artık hack’lenebildiği ispatlansa da, bunun için üst seviye ekipmanlar gerektiğini belirtelim.

Kriptokoin.com olarak geçen hafta Ledger etrafında meydana gelen gelişmelere bu yazıda yer verdik. Şirketin tohum sözleri üzerinde bir ‘kurtarma hizmeti’ başlatması, topluluk ortasında telaşlara neden oldu. Bir birden fazla bu kararın daha fazla güvenlik sorunu getireceğini iddia ediyor.