Kripto para sektöründe neredeyse her borsanın zaaflarının bulunduğu ve hiçbir borsa cüzdanının güvende olmadığı iddia ediliyor. Kullanıcılara buna karşı %100 oranında güvenlik için ise genellikle donanım cüzdanları öneriliyor. Trezor ve Ledger gibi cüzdanlar bu vakte kadar mekanik olarak hacklenmemiş olsa da bu durum artık değişmiş gibi gözüküyor.
Trezor Cüzdanı Hacklendi!
Bir bilgisayar mühendisi ve donanım hackerı, imkansız gibi gözüken Trezor One cüzdanını hacklemeyi başardığını iddia etti. Hacker, cüzdanın içerisindeki 2 milyon dolarlık fonu da alarak aslında bir anda zengin oldu.
Portland içerisinde yaşayan ve “Kingpin” olarak da bilinen hacker Joe Grand, bir YouTube videosu ile aslında her şeyi ortaya koydu. Dan Reich isimli bir yatırımcı, 2018 yılında 50.000 dolarlık Theta (THETA) yatırımını cüzdanından çekmek isteyince tam olarak o tarihte Trezor One cüzdanının şifresini unuttuğunu fark etti. Güvenlik şifresini 12 kere hatalı giren kullanıcı, 16. yanlış giriş olmadan durdu. 16. yanlış şifre girişinde bütün varlıklar otomatik olarak silinmekte. Ancak yatırım zaman içerisinde 2 milyon dolara kadar yükseldi ve Reich de bu konuda Kingpin’e ulaştı.
Kingpin, 12 haftalık bir çalışma sonrasında şifreyi bulmayı başardı. Aslında bu hacklemenin kilit noktası Trezor One’ın yazılım değişimi oldu. Grand, Trezor One’ın yaptığı bir yazılım güncellemesi ile PIN kodunu ve anahtar sözcüğünün Trezor One’ın RAM sürücüsüne kaydedilmeye başlandığını fark etti. Daha sonra fault injection attack olarak bilinen yöntemi kullanan hacker, RAM sürücüsünü hackledi ve buradaki şifreyi görüntüledi.
Trezor ise konu hakkında yaptığı açıklamada bu açığın artık giderildiğini belirtti.
Hi, we just want to add that the vulnerability was already fixed, and all new devices are shipped with a fixed bootloader. Thanks to @saleemrash1d for his security audit. Learn more about our Security approach and responsible disclosure program here👇https://t.co/pyV1Ya6X8b
— Trezor (@Trezor) January 24, 2022