Bitcoin Forum
March 28, 2020, 09:49:22 AM *
News: Latest Bitcoin Core release: 0.19.0.1 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: Kraken consegue violar Trezor One e Trezor Model T e ter acesso à wallet  (Read 191 times)
alegotardo
Sr. Member
****
Offline Offline

Activity: 910
Merit: 429



View Profile
February 01, 2020, 02:24:49 PM
Merited by Forsyth Jones (1), tg88 (1)
 #1

Viram essa notícia do Criptofácil?
A Kraken encontrou uma falha na Trezor One e Trezor Model T.

Mas não fiquem tão apavorados pois o processo necessita de acesso físico ao dispositivo e equipamento especializado.
A grosso modo, eles usam alta voltagem nos chips para "bugar o equipamento" e obter acesso à seed.

Uma solução para o problema, além de obviamente impedir o acesso físico ao dispositivo, é utilizar uma passphrase já que essa wallet oculta não é violada no ataque.

Então, a menos que tu seja igual ao @Paredao que tem uma fortuna de bitcoins e não gosta de Ledger (deve ter uma Trezor), ou tem uma Trezor mas faz uso da passphrase... não precisa se preocupar.
1585388962
Hero Member
*
Offline Offline

Posts: 1585388962

View Profile Personal Message (Offline)

Ignore
1585388962
Reply with quote  #2

1585388962
Report to moderator
1585388962
Hero Member
*
Offline Offline

Posts: 1585388962

View Profile Personal Message (Offline)

Ignore
1585388962
Reply with quote  #2

1585388962
Report to moderator
1585388962
Hero Member
*
Offline Offline

Posts: 1585388962

View Profile Personal Message (Offline)

Ignore
1585388962
Reply with quote  #2

1585388962
Report to moderator
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1585388962
Hero Member
*
Offline Offline

Posts: 1585388962

View Profile Personal Message (Offline)

Ignore
1585388962
Reply with quote  #2

1585388962
Report to moderator
Forsyth Jones
Sr. Member
****
Offline Offline

Activity: 924
Merit: 397


I love Bitcoin!


View Profile WWW
February 01, 2020, 04:35:37 PM
 #2

Viram essa notícia do Criptofácil?
A Kraken encontrou uma falha na Trezor One e Trezor Model T.

Mas não fiquem tão apavorados pois o processo necessita de acesso físico ao dispositivo e equipamento especializado.
A grosso modo, eles usam alta voltagem nos chips para "bugar o equipamento" e obter acesso à seed.

Uma solução para o problema, além de obviamente impedir o acesso físico ao dispositivo, é utilizar uma passphrase já que essa wallet oculta não é violada no ataque.

Então, a menos que tu seja igual ao @Paredao que tem uma fortuna de bitcoins e não gosta de Ledger (deve ter uma Trezor), ou tem uma Trezor mas faz uso da passphrase... não precisa se preocupar.
Isso mesmo @alegotardo, uma simples função trivial chamada Passphrase BIP39 que já existe em algumas carteiras como a Electrum bitcoin wallet já atenuaria a vulnerabilidade, que cá entre nós, isso já existe faz tempo, por isso o recomendado é utilizar Passphrases em hardware wallets ou usar SEM passphrase somente o valor de "bolso" do dia-a-dia, e sua real fortuna em uma carteira oculta protegida por Passphrase.

Isso requer uma responsabilidade especial, se você por exemplo tem o costume de esquecer ou perder senhas, é melhor não usar criptografia BIP39, pois a chance de perder fundos por conta de falha humana é grande.

Vai sair um artigo especial sobre quais cuidados tomar ao usar Criptografia BIP39, linko aqui quando estiver pronto.
tg88
Sr. Member
****
Offline Offline

Activity: 924
Merit: 367



View Profile
February 01, 2020, 05:54:31 PM
 #3

No ano passado a SatoshiLabs tambem alertou sobre uma forma de ter acesso a seed das Trezor One atraves de uma falha no visor Oled, foi discutico neste tópico:
Detectada vulnerabilidade em carteiras Trezor One

E em dezembro de 2019 a Kraken expos falha parecida nas KeepKey:
Inside Kraken Security Labs: Flaw Found in Keepkey Crypto Hardware Wallet
Inside Kraken Security Labs: Flaw Found in Keepkey Crypto Hardware Wallet (Part 2)

Olhando por outro lado, essa vulnerabilidade pode ser usada para o bem caso o proprietário esqueça totalmente o acesso e não fez backup ou sofra algum tipo de amnésia.  Wink
Paredao
Legendary
*
Offline Offline

Activity: 1848
Merit: 1062


★777Coin.com★ Fun BTC Casino!


View Profile
February 01, 2020, 07:30:14 PM
 #4

Quote

Então, a menos que tu seja igual ao @Paredao que tem uma fortuna de bitcoins e não gosta de Ledger (deve ter uma Trezor), ou tem uma Trezor mas faz uso da passphrase... não precisa se preocupar.

Você pode ver que no tópico que você citou eu explico como enterro minhas paperwallets esperando nascer um "pé de bitcoin".  Cheesy Cheesy Cheesy Afinal de contas "sementes" foram feitas para serem enterradas para que frutifiquem.  Cheesy Cheesy Cheesy

Edit: A página da empresa que vc citou no post não aparece mais. Acho que eles apagaram de vergonha. Shocked Shocked

cryptobaboon
Sr. Member
****
Offline Offline

Activity: 924
Merit: 342



View Profile
February 01, 2020, 11:00:50 PM
Last edit: February 06, 2020, 01:24:34 PM by cryptobaboon
 #5

As empresas se defendem dizendo que o gap causado pelo acesso físico não pode ser responsabilidade delas e, de certa forma, eu concordo. Analogamente seria como ter um cofre com a mais alta segurança e que fica no porão da sua residência... durante um assalto alguém a invade e o leva. Com o dispositivo ao seu dispor teriam tempo e facilidade de violá-lo.

A diferença, no entanto, é que aqui falamos de um meio digital e sua violação, mesmo que fisicamente, deveria ser levada em consideração. Mesmo que isso significasse um gatilho auto-destrutivo. Bom, até onde me recordo apenas falhas deste gênero têm dado as caras (como as da KeepKey que o tg mencionou).

Apesar de não plantar minhas seeds esperando por uma árvore de BTC, eu certamente ainda vejo a paper wallet como o método mais seguro para manter seus fundos. Hardware wallets nunca devem ser usadas para guardar grandes volumes, na verdade, elas não devem ser usadas a menos que o montante ali contido seja transacionado com frequência. Diminuir os pontos de falha é a melhor maneira de ficar seguro (às possíveis falhas do dispositivo e seu acesso indevido). Existindo a necessidade, no mínimo que ela siga as diretivas do BIP39, como o Forsyth indicou!
bitmover
Hero Member
*****
Offline Offline

Activity: 798
Merit: 1303



View Profile
February 02, 2020, 12:42:45 AM
 #6

A trezor tem uma vulnerabilidade dessas que não tem correção e foi encontrada pela equipe da ledger.
A única forma de se proteger mesmo é usando passphrase.

Mas sinceramente, esse tipo de ataque em que um hacker precisa de acesso físico ao dispositivo é coisa de cinema...

https://donjon.ledger.com/Unfixable-Key-Extraction-Attack-on-Trezor/

Eu sempre preferi a ledger pq é mais barato, agora ainda com esse bug incurável...

Alveus
Full Member
***
Offline Offline

Activity: 826
Merit: 201


★777Coin.com★ Fun BTC Casino!


View Profile
February 02, 2020, 09:14:15 PM
Merited by bitmover (2)
 #7

Essas falhas apenas tem serventia em casos específicos como a morte do proprietário, como é o caso do multimilionário que faleceu e deixou tudo em could wallets.
https://livecoins.com.br/500-milhoes-de-dolares-perdidos-em-ripple/

Na realidade o método mais usual em pessoas vivas seria o ataque de 5 dólares - que consiste em utilizar qualquer objeto com esse valor, como chave de fendas, para forçar que o detentor da wallet revele a senha da could wallet.


fonte:https://cointimes.com.br/conheca-o-ataque-de-5-que-pode-sumir-com-seus-bitcoins-para-sempre/ e xkcd (criador da charge).

Paredao
Legendary
*
Offline Offline

Activity: 1848
Merit: 1062


★777Coin.com★ Fun BTC Casino!


View Profile
February 02, 2020, 10:20:08 PM
 #8

Essas falhas apenas tem serventia em casos específicos como a morte do proprietário, como é o caso do multimilionário que faleceu e deixou tudo em could wallets.
https://livecoins.com.br/500-milhoes-de-dolares-perdidos-em-ripple/

Na realidade o método mais usual em pessoas vivas seria o ataque de 5 dólares - que consiste em utilizar qualquer objeto com esse valor, como chave de fendas, para forçar que o detentor da wallet revele a senha da could wallet.


fonte:https://cointimes.com.br/conheca-o-ataque-de-5-que-pode-sumir-com-seus-bitcoins-para-sempre/ e xkcd (criador da charge).


Esse método de 5 dólares é infalível. Não adianta nem enterrar a paper wallet como eu faço. Por isso a melhor coisa a se fazer é não revelar para ninguém que você possui criptomoedas. Nem para parentes e amigos.  Shocked Shocked

TryNinja
Legendary
*
Offline Offline

Activity: 1330
Merit: 1907



View Profile
February 02, 2020, 10:44:38 PM
 #9

Esse método de 5 dólares é infalível. Não adianta nem enterrar a paper wallet como eu faço. Por isso a melhor coisa a se fazer é não revelar para ninguém que você possui criptomoedas. Nem para parentes e amigos.  Shocked Shocked
O esquema é ter mais de uma wallet. Uma fake, com um saldo relativamente baixo e a sua original. Precisa dar seus BTC? Dê a primeira e fique com o resto dos seus BTC. Só precisa ser convincente de que você só tem aquela wallet. Ou você pode até mesmo ir para o próximo nível: duas wallets fakes e uma original.

Ladrão: passa a carteira.
Você: ok... ok... aqui está (passa a 1 fake).
Ladrão: eu sei que você tem mais.
Você: não tenho não.
Ladrão: vou te matar se não passar.
Você: tabom, tabom, aqui está (passa a 2 fake).

Cheesy

Paredao
Legendary
*
Offline Offline

Activity: 1848
Merit: 1062


★777Coin.com★ Fun BTC Casino!


View Profile
February 06, 2020, 03:24:00 AM
 #10

Quote
O esquema é ter mais de uma wallet. Uma fake, com um saldo relativamente baixo e a sua original. Precisa dar seus BTC? Dê a primeira e fique com o resto dos seus BTC. Só precisa ser convincente de que você só tem aquela wallet. Ou você pode até mesmo ir para o próximo nível: duas wallets fakes e uma original.

Ladrão: passa a carteira.
Você: ok... ok... aqui está (passa a 1 fake).
Ladrão: eu sei que você tem mais.
Você: não tenho não.
Ladrão: vou te matar se não passar.
Você: tabom, tabom, aqui está (passa a 2 fake).

Cheesy

Sabe que você me deu uma ideia. Que tal começarmos a produzir cold wallets falsas Huh? Imagina mandar fazer várias carcaças plasticas de Trezor e de Ledger e vender por uns 40 ou 50 reais. Quando vier o ladrão vc dá a carteira fake(carcaça vazia). Gostou da ideia ?

Loganota
Hero Member
*****
Offline Offline

Activity: 1344
Merit: 730


View Profile
February 06, 2020, 02:05:21 PM
 #11

Sabe que você me deu uma ideia. Que tal começarmos a produzir cold wallets falsas Huh? Imagina mandar fazer várias carcaças plasticas de Trezor e de Ledger e vender por uns 40 ou 50 reais. Quando vier o ladrão vc dá a carteira fake(carcaça vazia). Gostou da ideia ?

Acho que os ladrões de hoje devem achar que as trezor e ledger são pen drives. Acho que um cara que está interessado em roubar HW vai é roubar o estoque pra revender igual fizeram com o cara da KriptoBR. Assaltante não quer ter trabalho não, ele quer roubar o que é mais fácil de passar pra frente.
sonico
Jr. Member
*
Offline Offline

Activity: 56
Merit: 11


View Profile
February 07, 2020, 07:13:16 PM
 #12

Exatamente como falaram acima:

A carteira com a seed com valor do dia a dia.

Uma passphrase anotada com mais um valor pífio como engodo (decoy)

E uma passphrase como a minha (swordfish), que só eu sei, com os milhões ganhos com a compra de antshares e venda da neo (sonho meu. E que só vai até aí porque comecei em 2017)

Agora, se estiver no bar de um hotel ou pub, avistar o Tom Cruise e uma mina da hora puxar assunto com você,
Saque sua hw e a destrua com o pé da cadeira, ou esmagando na junta de uma porta. Porque senão já era... Cheesy
rdluffy
Full Member
***
Offline Offline

Activity: 742
Merit: 142


★777Coin.com★ Fun BTC Casino!


View Profile
February 07, 2020, 10:14:37 PM
 #13

Parece que há um bom tempo atrás eu vi uma notícia muito, muito semelhante a essa, de um método que usaria a voltagem para conseguir invadir a carteira, porém é uma coisa MUITO específica e creio que pouquíssimas pessoas no mundo conseguiria fazer isso, mas tem a dificuldade imensa de que:

A pessoa precisa estar com a wallet física
Se houver a senha, se tornaria impossível esse processo

Então não vejo motivos para desmerecer a empresa, somente fica o alerta para que corrijam numa próxima remessa

tg88
Sr. Member
****
Offline Offline

Activity: 924
Merit: 367



View Profile
February 07, 2020, 11:26:18 PM
 #14

Parece que há um bom tempo atrás eu vi uma notícia muito, muito semelhante a essa, de um método que usaria a voltagem para conseguir invadir a carteira

Não é impressão não, eu também pensei o mesmo... achei que era o alegotardo postando noticia velha  Grin Grin  Wink
foram esses casos similares que foram noticiados no ano passado que citei no inicio do tópico
TryNinja
Legendary
*
Offline Offline

Activity: 1330
Merit: 1907



View Profile
February 07, 2020, 11:32:21 PM
 #15

A pessoa precisa estar com a wallet física
Se houver a senha, se tornaria impossível esse processo

Então não vejo motivos para desmerecer a empresa, somente fica o alerta para que corrijam numa próxima remessa
Isso. Não vi ninguém citando isso especificamente: Lembrando que o usuário que setar uma senha BIP39 na sua seed, ainda está seguro contra esse exploit. No caso, no momento que você obtem acesso físico à wallet, não é tão dificil conseguir desbloqueada (com ou sem exploit, vide o método dos $5).

Alveus
Full Member
***
Offline Offline

Activity: 826
Merit: 201


★777Coin.com★ Fun BTC Casino!


View Profile
February 09, 2020, 12:28:59 AM
 #16

~~Por isso a melhor coisa a se fazer é não revelar para ninguém que você possui criptomoedas. Nem para parentes e amigos.  Shocked Shocked

E nem para os auditores da RF Cheesy.



~~
Sabe que você me deu uma ideia. Que tal começarmos a produzir cold wallets falsas Huh? Imagina mandar fazer várias carcaças plasticas de Trezor e de Ledger e vender por uns 40 ou 50 reais. Quando vier o ladrão vc dá a carteira fake(carcaça vazia). Gostou da ideia ?

É uma ideia boa,  o ladrão apenas saberia se era fake ou não horas depois após o roubo - o único incoveniente seria se solicitasse a transferencia de fundos no momento do roubo. É o mesma situação das pessoas que utilizam replicas de joias para salvar as originais.

Paredao
Legendary
*
Offline Offline

Activity: 1848
Merit: 1062


★777Coin.com★ Fun BTC Casino!


View Profile
February 09, 2020, 02:57:00 AM
 #17

Quote

É uma ideia boa,  o ladrão apenas saberia se era fake ou não horas depois após o roubo - o único incoveniente seria se solicitasse a transferencia de fundos no momento do roubo. É o mesma situação das pessoas que utilizam replicas de joias para salvar as originais.

Ai tem que falar para o ladrão que a hard wallet não está acendendo e está quebrada. Será que o ladrão vai saber o que é "semente" Huh Apesar que hoje em dia tem muito ladrão bem informado e que sabe muito de tecnologia.  Cheesy Cheesy Cheesy Cheesy

TryNinja
Legendary
*
Offline Offline

Activity: 1330
Merit: 1907



View Profile
February 09, 2020, 03:46:23 AM
 #18

Só eu acho que hoje em dia o ladrão que tentar roubar sua hardware wallet (por entender sobre isso, caso contrário nem saberia o que é o dispositivo) vai pedir para você transferir as moedas para um endereço dele? Cheesy

alegotardo
Sr. Member
****
Offline Offline

Activity: 910
Merit: 429



View Profile
February 10, 2020, 04:44:51 PM
 #19

Só eu acho que hoje em dia o ladrão que tentar roubar sua hardware wallet (por entender sobre isso, caso contrário nem saberia o que é o dispositivo) vai pedir para você transferir as moedas para um endereço dele? Cheesy

Nesse caso então, rola comprar umas BCH... faz a transferência na hora de 0.5 BTC BCH pro endereço que ele informar e diz que a rede do Bitcoin tá congestionada.
Todo ladrão tem pressa, após ver que você enviou não ficar mais de 10 minutos na tua frente esperando confirmar, vai sair faceiro da vida achando que tirou a sorte grande Cheesy
Paulo2
Member
**
Offline Offline

Activity: 271
Merit: 32


View Profile WWW
February 14, 2020, 08:16:17 PM
 #20

Essa falha em específico tem a necessidade de que o "atacante" tenha acesso físico, tempo e conhecimento técnico para conseguir burlar a segurança da Trezor. Além disso, a Trezor não pode ter passphrase para a falha poder ser explorada.

De qualquer forma, fizemos uma matéria que explica um pouco sobre como proteger ainda mais a sua hardwallet.

Conheça o melhor portal brasileiro de blockchain e criptomoedas: CriptoFácil
Pages: [1]
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!