Piekło zamarzło.
Okazuje się, że najbardziej bezpieczny sposób przechowywania BTC... wcale nie jest taki bezpieczny.
Problem z designem Trezora jest straszny, bez wymiany urządzenia właściwie nie da się usunąć wykrytych podatności.
Ale o co chodzi?
Okazuje się, że Trezor zbudowany jest w sposób sprzeczny z logicznym myśleniem. Otóż zaraz po podłączeniu do zasilania pamięć urządzenia zapełniana jest danymi, w skład których wchodzi seed (jako plain text!!!), pin do urządzenia oraz jego nazwa.
Producent Trezora popełnił kilka błędów:
- użycie chipa na którym wcześniej wykryto podatność na atak
- wyprowadzenie deweloperskiej nóżki "reset" w urządzeniach produkcyjnych
- ładowanie do pamięci seeda w "czystej" formie
Co robić? Jak żyć?
Moim zdaniem, jedynym co może nas jeszcze ratować jest użycie dodatkowego hasła. Portfel https://wallet.trezor.io/ ma opcję używania dodatkowego (oprócz seeda) ciągu znaków do generowania adresów. Ponieważ ta informacja NIE jest przechowywana w urządzeniu, nie można jej uzyskać w opisywanych atakach.Moja rada
Jeżeli chcemy używać Trezora hasło jest niezbędne.
W przypadku utraty urządzenia można bez większych problemów wyciągnąć seeda i uzyskać dostęp do wszystkich środków. Jeżeli więc używamy trezora bez hasła, koniecznie należy założyć hasło (nawet na tym samym seedzie - nie ma to znaczenia), i przelać wszystkie środki na nowo wygenerowane adresy.
UWAGA
Hasła NIE można W ŻADEN sposób odzyskać! Jeżeli je zapomnicie - NIGDY nie odzyskacie środków.
Opis całego ataku [ENG]:
https://medium.com/@Zero404Cool/trezor-security-glitches-reveal-your-private-keys-761eeab03ff8
ps.
Sam mam trezora...
"Piekło zamarzło", Trezor ma luki w bezpieczeństwie a BCH szybuje w górę... Świat się kończy ;D
Chcę zobaczyć minę tych wszystkich, który stawali za Trezorem rękami i nogami :)
Zawsze mnie to zastanawiało Trezor czy Ledger? Po tym co przeczytałem pytanie wydaje się być jeszcze bardziej uzasadnione.