Kraken Security Labs: Trezor Wallet Bisa Diretas Hanya Dalam 15 Menit
Pada tanggal 31 Januari, Kraken Security Labs mengungkapkan bahwa peretas bisa menyerang Trezor Wallet dalam waktu tidak lebih dari 15 menit dan bisa mengakses kunci pribadi.
Meskipun tampaknya cukup berbahaya, tapi ada sedikit kelegaan. Pengguna bisa melindungi asetnya dengan menggunakan kata sandi BIP39 untuk memastikan control penuh atas dompet mereka.
Serangan dilakukan melalui kontak fisik pada Trezor Wallet dengan mengekstraksi chip Trezor dan meletakkannya pada perangkat khusus atau menyolder beberapa konektor penting.
Chip Trezor itu dihubungkan ke "perangkat glitcher" yang nantinya akan mengirimkan sinyal pada saat-saat tertentu. Langkah ini bisa Ini menembus perlindungan bawaan dengan mencegah memori chip agar tidak dibaca oleh perangkat eksternal.
Langkah tersebut membuat peretas membaca parameter wallet kritis, termasuk benih kunci pribadi. Meskipun benih dienkripsi dengan kunci dari PIN, para peretas dapat melakukan berbagai kombinasi PIN hanya dalam dua menit.
Kerentanan Trezor ini disebabkan oleh hardware khusus yang digunakan oleh Trezor, itu berarti perusahaan sulit memperbaiki tingkat keamanan hardwarenya. Trezor perlu mendesain ulang wallet sepenuhnya.
Dalam rangka meningkatkan keamanan, Kraken meminta pengguna Trezor Wallet dan KeepKey, tidak mengizinkan siapa saja mengakses wallet secara fisik.
Dalam menanggapi hal ini, Trezor menerbitkan sebuah pernyataan bahwa Timnya akan meminimalkan dampak kerentanan tersebut. Mereka berpendapat bahwa serangan tersebut menunjukkan gangguan yang terdeteksi dan memerlukan hardware khusus untuk dapat melakukannya.
Tim juga menyarankan kepada para pengguna agar mengaktifkan fitur sandi dompet (wallet) agar terhindar dari serangan tersebut. Sebab, kata sandi tidak tersimpan di perangkat dan merupakan alternative terbaik.
Selain itu, fitur kata sandi juga bisa menambah tanggung jawab setiap pengguna atas walletnya. Frasa kata sandi yang dibuat pengguna harus komplek agar tidak mudah di otak-atik oleh hacker dan pengguna wajib tidak boleh lupa dengan kata sandi yang dibuatnya itu.
