A divisão de cibersegurança da exchange de criptomoedas dos EUA, Kraken, divulgou publicamente uma falha crítica de hardware nos dois principais produtos da Trezor – Trezor One e Trezor Model T.
De acordo com a publicação do blog, a Kraken Security Labs levou “apenas 15 minutos para invadir as duas carteiras de hardware”. Esclarecendo, o método descrito requer cerca de 15 minutos de “acesso físico” ao dispositivo – incluindo a abertura – e alguns equipamentos especializados, por isso não pode realmente ser chamado de “fácil”.
Kraken disse que usou falha de tensão para extrair a semente cripto – um conjunto de palavras usadas para controlar um pouco de Bitcoin – de cada um dos dispositivos.
O ataque em si tira proveito de “falhas inerentes ao microcontrolador usado nas carteiras da Trezor“. Kraken sugeriu que a equipe de Trezor terá dificuldade em corrigir essa vulnerabilidade “sem uma reformulação de hardware”.
Vale ressaltar que os especialistas da Kraken já entraram em contato com a Trezor sobre essa vulnerabilidade. Pavol Rusnak, CTO do SatoshiLabs, acrescentou: “Estamos felizes por a Kraken Security Labs estar investindo seus recursos na melhoria da segurança de todo o ecossistema Bitcoin. Nós apreciamos esse tipo de divulgação e cooperação responsáveis.”
Por sua vez, a Kraken Security Labs afirma “tentar descobrir ataques contra a comunidade cripto antes que os bandidos o façam” e “divulgar com responsabilidade todos os detalhes desse ataque à equipe da Trezor em 30 de outubro de 2019”. A razão para tornar pública essa vulnerabilidade é citada como “para que a comunidade cripto possa se proteger antes que uma correção seja lançada pela equipe da Trezor”.