Krypto-Sicherheit Kraken Security Labs demonstriert Sicherheitslücke in Trezor Wallets
Anton Livshits

von Anton Livshits

Am · Lesezeit: 3 Minuten

Quelle: Shutterstock

Teilen
BTC50,247.00 $ -9.74%

Da sie nicht mit dem Internet verbunden sind, gelten Hardware Wallets zu Recht als eine der sichersten Verwahrunsmöglichkeiten für die eigenen Krypto-Assets. Allerdings sind auch sie nicht unfehlbar. Den jüngsten Beweis hierfür erbrachten die Kraken Security Labs.

Die Kraken Security Labs haben eine Sicherheitslücke in Hardware Wallets der Marke Trezor lokalisiert. Das Sicherheitsteam der Bitcoin-Börse Kraken brauchte im Rahmen eines Angriffs weniger als 15 Minuten, um alle relevanten Daten von den Geräten auszulesen. Betroffen sind sowohl der Trezor One als auch der Trezor Model T. Kraken veröffentlichte die Details zum Angriff zwar am 31. Januar,  informierte das Trezor-Team allerdings bereits am 30. Oktober 2019 über die Schwachstelle. Die Wallet-Hersteller reagierten mittlerweile mit einer eigenen Stellungnahme.

kryptokompass
BTC-ECHO Magazin (5/2021): Social Token - das nächste große Ding?

Das Branchenmagazin für Bitcoin und Blockchain Investoren.

Exklusive Top-Themen für ein erfolgreiches Investment:
• Investment Trend: Social Token
Coinbase-Börsengang
• Die 5 größten Bitcoin-Crashs
• Marktanalyse vom Profi-Trader
• Bitcoin Mining mit Hashrate Token


Kostenfreie Ausgabe bestellen >>


Der Angriff gelang den Kraken Security Labs mit Hilfe eines Geräts, das „Spannungsspitzen“ erzeugt. Nach Angaben des Teams benötigten Kriminelle außer unmittelbarem physischem Zugang zu den Geräten, lediglich technisches Know-how und nicht allzu teures technisches Equipment. Die Attacke zielte dabei unmittelbar auf den STM32 Microchip, der in den Trezor Geräten verbaut ist. Da die Sicherheitslücke somit im Aufbau der Geräte selbst gründet, kann sie nicht ohne Weiteres behoben werden. Sowohl Kraken als auch Trezor raten Benutzern deswegen dringend, die BIP39 Passphrase im Trezor Client zu aktivieren. Da diese nicht in den Geräten selbst gespeichert werde, stelle sie einen effektiven Schutz gegen derartige Angriffe dar.

Im Übrigen nutzen auch Wallets der Marke KeepKey eine ähnliche Hardware-Architektur, weswegen auch sie von einer entsprechenden Schwachstelle betroffen sind. Das Team von Kraken Security Labs wies deshalb mit Nachdruck darauf hin, dass Hersteller nicht auf die Hardware als einzige Sicherheitsschicht bauen sollten. Insbesondere die STM32-Chips erachten sie als ungeeignet für die Lagerung von Bitcoin-Schlüsseln und anderen sensiblen Daten. Den Erkenntnissen von Kraken zum Trotz sollten Nutzer von Trezor und vergleichbaren Geräten dennoch nicht vorschnell in Panik geraten. Schließlich ereignet sich ein Großteil der Krypto-Diebstähle nach wie vor über das Internet.

Wie kaufe ich Bitcoin? Ratgeber und Anbietervergleich 2021

Wir erklären dir schnell und einfach wie du Bitcoin sicher und günstig kaufen kannst und worauf du dabei achten solltest!

Zum Ratgeber >>


Kraken brauchte lediglich 15 Minuten

Die Kraken Security Labs geben in ihrem Blogpost einen detaillierten Bericht über den Angriff auf die Trezor-Geräte. Demnach gingen sie folgendermaßen vor:

Unser Angriff beginnt damit, dass wir den integrierten Bootloader des Prozessors durch einen Fehlerinjektionsangriff reaktivieren. Dieser integrierte Bootloader hat die Funktion, den Flash-Inhalt des Geräts auszulesen, überprüft aber den Schutz des Chips während der Ausführung des Befehls. Durch die Verwendung eines zweiten Fehlerinjektions-Angriffs ist es möglich, diese Prüfung zu umgehen, und dann kann der gesamte Flash-Inhalt des Geräts 256 Bytes auf einmal extrahiert werden. Durch Wiederholung des Angriffs ist es möglich, den gesamten Flash-Inhalt zu extrahieren.

Nachdem das Team den Inhalt derart extrahiert hatte, galt es nur noch, die PIN zu knacken, durch die die Schlüssel zu den Krypto-Assets geschützt waren. Dafür griff das Kraken Team auf eine Brute-Force-Attacke zurück. Die PIN konnte damit in unter zwei Minuten aufgebrochen werden.

bitcoin-trading-kurs
Das Krypto-Trading lernen

Der Einsteigerkurs für den Handel von Bitcoin und digitalen Währungen

4 Stunden Videokurs mit Profitrader Robert Rother



Teilen
Die aktuellsten News kostenlos per E-Mail
Ich stimme zu, dass meine E-Mail-Adresse für den Versand des Newsletters gespeichert und verarbeitet wird. Weitere Hinweise

1. Ausgabe kostenlos testen

Das Bitcoin & Blockchain Magazin

1. Ausgabe kostenlos testen

Das führende Bitcoin & Blockchain Szene Magazin

In Print und Digital verfügaber

Neue Investmentchancen verstehen und ergreifen

Jeden Monat über 60 Seiten Insights, Analysen, KnowHow

Streng limitiert

Kostenlose Ausgabe testen oder gratis Prämie sichern

BTC-ACADEMY