Haker pomaže vlasniku Trezor One koji je zaboravio šifru za novčanik i kao i svoj “seed frase” da povrati sredstva i kriptovalute u vrijednosti od preko 2 miliona dolara.
Računarski inženjer i haker otkrio je kako je uspio da razbije hardverski novčanik Trezor One koji sadrži više od 2 miliona dolara sredstava.
Joe Grand – koji je sa sjedištem u Portlandu također poznat po svom hakerskom alias-u “Kingpin” – postavio je Youtube video u kojem objašnjava kako je izveo genijalni hak.
Nakon što su 2018. godine odlučili da unovče originalnu investiciju od otprilike 50.000 dolara u Theta, Dan Reich, preduzetnik sa sjedištem u New Yorku, i njegov prijatelj, shvatili su da su izgubili sigurnosni PIN za Trezor One na kojem su bili pohranjeni tokeni. Nakon neuspješnog pokušaja da pogode sigurnosni PIN 12 puta, odlučili su da odustanu prije nego što se novčanik automatski obriše nakon 16 netačnih pogađanja.
Ali s obzirom da je njihova investicija ove godine porasla na 2 miliona dolara, udvostručili su svoje napore da pristupe fondovima. Bez početne fraze ili PIN-a njihovog novčanika, jedini način za preuzimanje tokena bio je hakovanje.
Došli su do Granda koji je proveo 12 sedmica pokušaja i grešaka, ali je na kraju pronašao način da povrati izgubljeni PIN.
Ključ za ovaj hak bio je da tokom ažuriranja firmvera Trezor One novčanici privremeno premještaju PIN i ključ u RAM, da bi ih kasnije vratili u flash kada se firmver instalira. Grand je otkrio da u verziji firmvera koja je instalirana na Reichov novčanik ove informacije nisu premještene već kopirane u RAM, što znači da ako hakovanje ne uspije i RAM se izbriše, informacije o PIN-u i ključu će i dalje biti pohranjene u flash memoriji.
Nakon upotrebe napada ubrizgavanjem greške – tehnike koja mijenja napon koji ide do čipa – Grand je uspio nadmašiti sigurnost koju mikrokontroleri moraju spriječiti da hakeri čitaju RAM, i dobio je PIN potreban za pristup novčaniku i sredstvima. Grand je objasnio:
“U suštini uzrokujemo loše ponašanje na silikonskom čipu unutar uređaja kako bismo narušili sigurnost. I ono što se na kraju dogodilo je da sam sjedio ovdje i gledao ekran kompjutera i vidio da sam uspio da pobjedim obezbjeđenje, privatne informacije, niz od više riječi (the recovery seed) i pin koji sam tražio pojavili su se na ekranu.”
Prema nedavnom tvitu Trezora, ova ranjivost koja mu omogućava čitanje iz RAM-a novčanika je starija i ona je već ispravljena za novije uređaje. Ali ako se ne izvrše promjene na mikrokontroleru, napadi ubrizgavanjem greške i dalje mogu predstavljati rizik.
Upozorenje
Na samom kraju morate imati na umu da je ulaganje u kriptovalute i druge početne ponude kovanica („ICO“ – Initial Coin Offer) jako rizično i špekulativno, pa ovaj tekst nije preporuka vlasnika stranice kripto.ba ili pisca ovog teksta, da ulažu u kriptovalute ili druge ICO. Pošto je situacija svakog pojedinca jedinstvena, prije donošenja bilo kakve finansijske odluke, uvijek trebate konsultovati kvalifikovanog stručnjaka za ulaganja. Kripto.ba ne daje nikakve garancije u pogledu tačnosti ili pravovremenosti ovdje sadržanih informacija.
