Kraken findet einen Weg, um die Trezor Hardware-Wallet zu hacken

Trezor kann laut Kraken gehacked werden. Die Hardware machts möglich.
valerybrozhinsky - stock.adobe.com

Mit physischem Zugriff auf das Gerät kann man den Seed in nur 15 Minuten extrahieren. Doch es gibt einen Weg, um seine Kryptowährungen zu schützen.

Das Sicherheitsforschungsteam von Kraken hat einen Weg gefunden, sich in die beliebte Hardware Wallet Trezor zu hacken. Das Ganze funktioniert aber nur, wenn der Hacker die Wallet in seinen Händen hält und nicht über das Internet. Damit ein Hacker einen solchen Angriff durchführen kann, bedarf es der richtigen Ausrüstung und des richtigen Wissens, um in den Trezor einzudringen.

Wenn die Hardware-Wallet also verloren geht, kann die richtige Person, die darin aufbewahrten Wiederherstellungswörter extrahieren. Nach Angaben der Kraken Security Labs ist das Hacken eines Trezor-Wallets durch die Verwendung billiger Ausrüstung möglich. Durch einen auf Spannungsspitzen basierenden Angriff können Hacker den Seed aus der Wallet herausziehen. Wer den Seed besitzt, besitzt auch alle Kryptowährungen, die zu diesem Seed gehören.

Das Security-Team erklärt:

„Dieser Angriff beruht auf einem Voltage Glitch, um einen verschlüsselten Seed zu extrahieren. Der erste Angriff erforderte etwas Know-How und mehrere hundert Dollar an Ausrüstung, aber wir schätzen, dass wir (oder die Kriminellen) ein verbraucherfreundliches Glitching-Gerät massenhaft herstellen könnten, das für etwa 75 Dollar verkauft werden könnte.“

Kann das Problem behoben werden?

Der Teil der Wallet, der diese Schwachstelle auslöst, ist die Hardware-Seite. Die Struktur des Chips, der laut Kraken nicht dafür ausgelegt ist, Daten sicher aufzubewahren, macht die Wallet offen für den Angriff durch Spannungsspitzen.

Das sagte Kraken Security Labs:

„Der Angriff nutzt die inhärenten Fehler des Mikrocontrollers, der in den Trezor-Wallet verwendet wird. Das bedeutet leider, dass es für das Trezor-Team schwierig ist, ohne eine Neukonstruktion der Hardware etwas gegen diese Schwachstelle zu unternehmen.

Für Trezor gibt es, abgesehen von der Integration neu entwickelter Chips in neue Hardware-Wallets, um den Angriff zu verhindern, wenig, was das Unternehmen mit bestehenden Modellen tun kann.

Kein Grund zur Panik, es gibt einen Weg, einen solchen Angriff zu verhindern

In einem ausführlichen Blog-Post stellte das Trezor-Team fest, dass der gesamte Angriff entschärft werden kann, wenn der Benutzer eine starke Passphrase hat. Einfach ausgedrückt: Durch die Verwendung der Passphrase-Funktion eines Trezor-Geräts kann die Hardware-Wallet vor potenziellen Spannungsspitzen-Angriffen geschützt werden.

Das Trezor Team schreibt im Artikel:

„Es ist wichtig zu beachten, dass dieser Angriff nur dann durchführbar ist, wenn die Passphrase-Funktion das Gerät nicht schützt. Eine starke Passphrase schränkt die Möglichkeiten eines erfolgreichen Angriffs vollständig ein.“

Die Passphrase-Funktion ist eine außergewöhnlich sichere Schicht aktiven Schutzes und bei richtiger Anwendung eine undurchdringliche Lösung gegen physische Angriffe. Der Hauptvorteil der Passphrase besteht darin, dass sie nirgendwo im Gerät gespeichert ist und daher nicht von einem Dritten extrahiert werden kann. Gleichzeitig birgt dies das Risiko, dass bei Verlust oder Vergessen der Passphrase niemand mehr da ist, der helfen könnte, die Passphrase wiederzuerlangen.