V první řadě - nepodléhejte panice na základě nadpisu. Tato slabina je zneužitelná pouze při fyzickém přístupu k Vašemu Trezoru. A nyní k problému.

Možná jste v poslední době zaznamenali zprávy o tom, že oba modely hardwarových peněženek od SatoshiLabs mají bezpečnostní mezeru, která může umožnit útočníkům zmocnit se Vašich kryptoměn na nich uložených. Vlastně se ale nejedná o žádnou novinku - Kraken Security Labs na toto přišli a oznámili to již na konci října minulého roku, ale nyní se to opět začíná hojně řešit a snad vzniká i trochu panika, pojďme si to tedy shrnout. 

Oním slabým místem je používaný mikročip STM32, který používají jak Trezor One, tak Trezor T či například i jejich konkurence KeepKey. Netýká se to tedy jen Trezorů, ale jakékoliv HW peněženky, která tento mikročip má ve své výbavě. Možnosti zneužití se říká "RDP Downgrade attack" a umožňuje lidem se speciálním vybavením a znalostmi obejít zabezpečení a vyextrahovat ze zařízení seed. Díky němu pak mohou získat přístup ke kryptoměnám, které chrání. Zcela zásadní jsou zde ale tři věci:

Pro provedení tohoto úkonu je třeba mít fyzický přístup k HW peněžence. Žádný online hack tedy tímto způsobem neprojde.
Útočník musí disponovat tím speciálním vybavením a mít dostatečné specifické vědomosti. Není to tedy tak, že každý "zlodějíček", co by Vám Trezor ukradl, by se do něj i dostal.
Dá se tomu zabránit pomocí tzv. Passphrase, která coby další bezpečnostní vrstva toto riziko pokryje. Ovšem při nedostatečné opatrnosti a uvědomělosti uživatele se sama jiným rizikem může stát.

Hardawarové peněženky jsou, jak známo, jedním z nejbezpečnějších způsobů, jak své krypto chránit. A platí to i nadále, jen je dobré využívat jejich veškeré dostupné bezpečnostní prvky a nebýt lehkovážný. Zařízení s větším množstvím kryptoměn byste neměli nosit u sebe a mělo by být bezpečně uložené. Pokud jste na to zvyklí, mějte HW peněženky dvě, jednu s menším objemem noste u sebe a tu s větším mějte např. v sejfu/na jiném bezpečném místě. Také není dobré se lidem chlubit, kolik toho na nich máte - tím jen zvyšujete šanci, že si Vás někdo vyhlédne, pokud ta částka bude většího objemu a dostatečně zajímavá. Použití Passphrase si pak sami důkladně zvažte, zda ve Vašem případě nebude větší hrozbou, než možný fyzický útok (jehož četnost je v kryptosvětě pod 6% z celkového počtu - pro porovnání, podíl útoků formou vzdáleného přístupu je přes 66%).

Zde přikládáme i vyjádření k problému přímo od SatoshiLabs (které je zdrojem informací pro tento článek) a jejich článek o Passphrase (co to je, jak funguje, jaká má pozitiva a zápory) - oboje bohužel v angličtině.

Váš tým
VirtualProperty




Podobné články z sekce Novinky