Sicherheit

Kraken hackt Trezor Wallet in 15 Minuten – Sicherheitslücke war bereits bekannt

Kraken Trezor Hack
© Michaela Richter, Bitcoin Kurier

Lesedauer für den Artikel: 2 Minuten

Laborversuch mit Erfolg

Kraken Labs ist es gelungen zwei Hardware Wallets aus dem Hause Trezor zu hacken. Um sich Zugriff auf den Seed zu verschaffen ist allerdings physischer Zugriff notwendig. Zusätzlich brauchte es noch Equipment, um die Hardware zu zerlegen und danach anzusprechen.

Hat man aber einmal in die notwendigen Materialien investiert, ist theoretisch jeder weitere Hack nicht mehr kostenintensiv. Benötigt wird dann nur noch ein Trezor Wallet Modell T oder das Modell Trezor One und etwas Zeit.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

In einem Modellversuch, der in einem Video präsentiert wird, kann der Seed in nur 15 Minuten aus dem Hardware extrahiert werden. 

Glitch macht es möglich

Über einen Glitch in der Spannungsversorgung eines betroffenen Chips, kann der verschlüsselte Seed als Datensatz gewonnen werden. Allerdings dauert es nur sehr kurze Zeit, bis die Verschlüsselung gebrochen ist.

Hierzu reicht eine einfache „Brute Force“ Attacke, um an den Seed im Klartext zu kommen. Bei der beschriebenen Methode berechnet der Computer alle möglichen Passwortkombinationen und probiert sie schlicht aus, bis die passende Kombination gefunden wurde.

Damit können die Geräte nicht nur schnell, sondern auch mit sehr einfachen Mitteln angegriffen werden. 

Ähnliche Lücke bekannt

Die von Kraken beschriebene Lücke ist vermutlich seit längerer Zeit bekannt, jedoch wurde die Schwachstelle bisher nicht so drastisch vor Augen geführt. Grundsätzlich gibt es keine Möglichkeit den Fehler durch einen Patch zu beheben.

Das Problem besteht hardwareseitig, daher müsste Trezor überarbeitete Geräte ausliefern, um das Problem endgültig zu beseitigen. Jedoch sind Nutzer der vorbenannten Trezor Modelle nicht vollständig aufgeschmissen.

Sofern sie nämlich ihren Wallet unter der Verwendung eines starken Passworts schützen, so besteht das Problem laut Trezor nicht. Dies ist allerdings optional und daher ist davon auszugehen, dass sich nicht alle Nutzer aktiv darum gekümmert haben.