Em resumo
- Uma auditoria realizada pela equipe Ledger Donjon encontrou uma vulnerabilidade de hardware relacionada ao chip TROPIC01 Secure Element da Trezor.
- O ataque pode revelar um dos três “segredos” que protegem o PIN do usuário, reduzindo as três camadas originais de proteção da carteira para duas.
- Para que a exploração ocorra, o invasor deve possuir fisicamente a carteira, desmontá-la e usar equipamento de laboratório especializado.
A Trezor revelou uma vulnerabilidade em sua principal carteira de hardware Safe 7, mas afirma que os fundos dos usuários “permanecem protegidos” devido à natureza da exploração.
A vulnerabilidade foi descoberta durante uma auditoria de segurança independente realizada pela equipe Ledger Donjon, que relatou um “ataque de injeção de falha de laser” bem-sucedido contra o chip TROPIC01 Secure Element. Ele permite que um invasor extraia um dos três “segredos” que protegem o PIN de um usuário, reduzindo efetivamente três camadas de proteção para duas.
“A vulnerabilidade diz respeito apenas ao chip TROPIC01 Secure Element, uma das três camadas de segurança físicas independentes. Comprometer o TROPIC01 por si só não é suficiente para dar acesso ao PIN, que é a camada final de proteção para seus fundos”, afirma o blog Trezor. “Também não pode resultar em dispositivos Trezor Safe 7 adulterados com firmware malicioso persistente.”
É importante notar que Trezor diz que tal ataque requer a posse física da carteira de hardware, para que o invasor a desmonte e para que seja usado equipamento de laboratório especializado. Como tal, Trezor ainda chama o chip TROPIC01 de uma “barreira eficaz” de proteção que “requer tempo e esforço significativos para ser explorada”, acrescentando que “os fundos dos usuários permanecem seguros”.
A empresa de segurança Blockchain Cyvers ecoou a avaliação da Trezor de que os fundos dos usuários são “seguros”, dizendo Descriptografar que o ataque parece “altamente impraticável”.
As carteiras de hardware, também conhecidas como carteiras “frias”, armazenam chaves privadas offline em um dispositivo físico. Isso contrasta com as carteiras quentes, como a MetaMask, que armazenam as chaves do usuário em software instalado localmente ou em servidores baseados em nuvem. No caso da carteira Trezor Safe 7, a postagem do blog diz que felizmente as chaves do usuário não estão armazenadas no chip TROPIC01.
Infelizmente, devido à vulnerabilidade ser baseada em hardware, a exploração não pode ser corrigida com uma atualização de firmware. Trezor não respondeu imediatamente a Descriptografarpedido de comentários sobre se aceitará solicitações de reembolso de clientes.
“A segurança da carteira de hardware não deve ser avaliada apenas pela possibilidade de um chip ser eventualmente atacado em um laboratório”, disse Deddy Lavid, CEO da Cyvers. Descriptografar. “Para a maioria dos usuários, o risco muito maior ainda é o phishing, o roubo de frases-semente, os dApps maliciosos e as transações de assinatura cega que eles não entendem totalmente.”
Resumo Diário Boletim informativo
Comece cada dia com as principais notícias do momento, além de recursos originais, podcast, vídeos e muito mais.
