#Ownyourkeys. Genau das ist es, was wir von CryptoMonday immer wieder predigen. Besitze deine eigenen Keys. Die Frage, wie man Bitcoin sicher aufbewahren kann, stellt sich oft und die häufigste Antwort darauf ist, die Aufbewahrung in einem Hardware Wallet wie dem von Ledger oder Trezor. Donjon, ein Sicherheitsforschungsteam der Ledger Company, hat nun öffentlich die Ergebnisse der eigenen Versuche bekannt gegeben, in denen die physischen Risiken von Wallets bewertet wurden.
Speziell wurden die Konkurrenzprodukte von Trezor, namentlich der Trezor One, Trezor Model T und alle anderen Trezor-Ausprägungen auf mögliche Schwachstellen untersucht. Der Versuch und die damit verbundene Evaluation wurden im Rahmen eines Forschungsprojekts durchgeführt, in dem die allgemeine Sicherheit von Hardware Wallets analysiert werden sollte.
[td_block_ad_box spot_id="custom_ad_1"]Trezor-Geräte wurden speziell deshalb ausgewählt, weil das Unternehmen Open-Source-Firmware mit Closed-Source-Chips kombiniert. Obwohl Hardware Wallets allgemein als risikoarm bzw. sicher angesehen werden, hat Donjon die Studie durchgeführt, um zu verstehen, wie schwierig es tatsächlich ist, Risiken und Schwachstellen von „Mainstream“ Wallets aufzudecken.
Hardware Wallet Attacke: 100 Dollar genügen bereits
Eine wichtige Erkenntnis des Projekts und Forschungsteams lautet: Sobald ein Trezor Wallet in den Besitz eines hypothetischen Angreifers landet, kann dieser den Master-Seed (also den „Hauptschutz“ des Wallets) wiederherstellen – es sei denn, der Benutzer hat eine sehr starke Passphrase benutzt. Außerdem (und das ist wohl die wichtigere Erkenntnis) kann diese Schwachstelle nur mit einem Hardwareupdate behoben werden – anders gesagt: per Fernupdate kann die aktuelle Schwachstelle nicht behoben werden.
Trezor hingegen sieht keine Gefahr in der Offenlegung der Schwachstelle. Nachdem diese nämlich darüber informiert wurden, antworteten sie, dass der Angriff „zu spezialisiert, unrealistisch und schwer zu reproduzieren sei.“ Weiter wurde argumentiert, dass die Ausnutzung dieser Hardware Schwachstelle teures Equipment benötige und nicht für jedermann zugänglich sei.
Du hast keine Zeit immer alles zu lesen und willst dennoch nichts verpassen? Dann registriere dich jetzt für unseren Newsletter und sei immer Up-to-date. Lass dir bequem alle relevanten News über Bitcoin & Crypto, Blockchain, Meetups, und Neuigkeiten innerhalb unser Community per E-Mail zusenden – zusammengefasst und übersichtlich. Newsletter abonnieren.
Also hat das Forschungsteam rund um Donjon sich dieser angenommen und startete den Test, ob die physische Sicherheit der Trezor Hardware Wallets auch mit begrenzten Ressourcen gefährdet werden kann. Für den Angriff benutzen sie kostengünstige Tools, die leicht zu beschaffen sind und keinen hohen Materialwert aufweisen. Konkret bauten sie eine Schalttafel, die um die 100 US-Dollar gekostet hat. Und genau mit dieser Tafel im Wert von 100 Dollar schafften sie es binnen 5 (!) Minuten den Master Seed der Wallet zu entlocken. Hier ist das Video dazu:
Unfixable Seed Extraction on Trezor: A practical and reliable attack
"An attacker with a stolen device can extract the seed from the device. It takes less than 5 minutes and the necessary materials cost around 100$."https://t.co/i6F1P7T9nY pic.twitter.com/pMSF3nHC8r
— Ledger Donjon (@DonjonLedger) July 3, 2019
