‘Hackers kunnen Bitcoin hardware wallets Trezor binnen 15 minuten kraken’
Kraken Security Labs is achter een hardware fout gekomen toen zij de hardware wallets van Trezor openmaakte om eens goed van binnen te bekijken. Kraken vertelt in een blogpost dat dieven binnen een kwartier informatie van de hardware af kunnen lezen.
Kwaadwillenden kunnen encrypted seeds van de Trezor One en Trezor Model T aflezen. Er is wel een paar minuten fysieke toegang tot het apparaat voor nodig.
Trezor en Kraken
Kraken is in de basis een cryptobeurs waar je bitcoin (BTC) en andere digitale assets kunt kopen en verkopen. In de Security Labs richten onderzoekers zich op dit soort zaken. Belangrijk werk, want het goed en veilig opslaan van BTC is belangrijk voor iedereen.
Voor de onthullende blogpost heeft Kraken Trezor in oktober van 2019 al ingelicht. Het was dus al enige tijd bekend bij de fabrikant zelf.
Reactie
Volgens de Chief Security Officer van Kraken, Nick Percoco, is de kwetsbaarheid inherent aan het gebruik van een bepaalde microcontroller. Een microcontroller is een geïntegreerde schakeling met een microprocessor die wordt gebruikt om elektronische apparatuur te besturen.
[penci_blockquote style=”style-3″ align=”none” author=”Nick Percoco”]”De kwetsbaarheid zit in de hardware, het is niet iets dat je in een update kunt oplossen voor alle klanten. Om het probleem op te lossen moet er een nieuw apparaat komen.”[/penci_blockquote]
Percoco: ”Dit is voor onze klanten en de bitcoin community, zodat ze weten extra maatregelen te nemen om zeker te weten dat je private keys zijn beschermd. Deze chips zijn niet gemaakt om geheimen op te slaan.
Trezor liet kort na de bekendmaking van ook van zich horen. Voordat je gebruik kunt maken van de kwetsbaarheid van de hardware moet je wel de Trezor in bezit hebben. Hij moet namelijk worden open gemaakt.
Oplossing
Doordat het een fysiek probleem is, valt het probleem volgens Trezor wel mee. Volgens hun eigen onderzoek zou zo’n 6-9% van de gebruikers hierdoor in gevaar komen.
Een raar getal, want elk stukje hardware heeft dus deze fout. Heb je een fysieke Trezor wallet? Raak niet in paniek. Je kunt de passphrasefunctie gebruiken. Hiermee voeg je een extra woord toe aan de reeks die je nodig hebt om toegang te krijgen tot je fondsen.
Let op! De passphrase moet goed in elkaar zitten, maar tegelijkertijd moet je hem wel kunnen onthouden. Als de passphrase kwijt is, is ook de toegang tot je bitcoin verdwenen.
Die passphrase wordt niet lokaal opgeslagen en komt uit je eigen hoofd. Wanneer je die onthoudt en niet deelt, kan niemand bij jouw BTC.
Percoco gaat mee in dit advies: ”We zouden deze aanval niet kunnen doen wanneer je een passphrase gebruikt. Maar dat is optioneel en niet alle gebruikers gebruiken dit.” Het is dus zaak om vooral de fysieke toegang tot je Trezor wallets zo beperkt mogelijk te houden voor anderen.
Meepraten? Kom gezellig langs op Telegram.
