Trezor Hardware-Wallets sind in 15 Minuten hackbar
Ein Experiment von Krakens Security Lab hat ergeben, dass Trezor Hardware-Wallets in nur 15 Minuten gehackt werden können. Trezor antwortete auf das Ergebnis mit der Aussage, die Benutzer könnten ihre Assets trotzdem mithilfe einer speziellen Passphrase schützen.
Ein Blogbeitrag vom 31. Januar auf der offiziellen Webseite der Kryptobörse Kraken gibt an, dass ein Experiment des Kraken Security Lab (KSL) zu Trezor Hardware-Wallets ein neues Sicherheitsrisiko aufgedeckt hat. Das KSL-Team schaffte es während des Versuchs, beide getestete Trezor Hardware-Wallets zu hacken und nach dem Knacken der Private Keys die vorhandenen Assets zu stehlen.
Die Kryptobörse gibt an, dass eine Einzelperson Trezors Hardware-Wallets somit in nur 15 Minuten hacken kann – zumindest, sofern sie physischen Zugriff auf das jeweilige Gerät hat. Der Hacker-Angriff erfolgt dabei mit einem Prozess namens „Voltage Glitching“, der genutzt wird, um die verschlüsselten Seed-Phrasen zu extrahieren.
Ein dafür nötiges “Glitcher-Gerät“ zu bauen, erfordert mehrere Hundert Dollar. Kraken behauptet jedoch, dass die Geräte auch in Massenproduktion produziert und für nur 75$ verkauft werden könnten.
Da die Sicherheitslücke auf das mangelhafte Design der Microcontroller des Wallets zurückzuführen sind, wäre Trezor zur Behebung des Problems gezwungen, ein völlig neues Design zu entwickeln. Bis dahin können Benutzer ihre Geräte schützen, indem sie niemandem physischen Zugriff darauf gewähren und die BIP39 Passphrase im Trezor Client nutzen.
Als Antwort auf die Entdeckung veröffentlichte Trezor eine Pressemitteilung mit dem Titel „Our Response to the Read Protection Downgrade Attack.“ Darin spielte das Unternehmen die Sicherheitslücke im Grunde herunter. Schließlich betonte es, dass, um Zugriff zu erhalten, eine sichtbare physische Manipulation des Gerätes sowie spezielle Hardware notwendig wäre.
Trezor empfahl den Benutzern zudem, die oben erwähnte BIP39 Passphrase zu nutzen, von der Kraken angibt, sie wäre „in der Praxis recht umständlich zu verwenden“. Die Passphrase wird allerdings nicht direkt auf dem Gerät gelagert, sodass die Bitcoins und sonstigen Kryptowährungen auf Deinem Gerät damit sehr viel sicherer sind.