Trezor Een Portemonnee Vervalsing Onthult Nieuwe Technieken Gebruikt om te Stelen Crypto

Trezor One Wallets Forgery Reveals New Techniques Used to Steal Crypto

De cryptocurrency portemonnees gemaakt door Trezor zijn lang beschouwd als een standaard van de industrie en zijn vertrouwd als een betrouwbare koude-opslag van cryptocurrencies door de grote media, blockchain ontwikkelaars en crypto-liefhebbers wereldwijd. Het bedrijf gaat er prat op de kwaliteit van het product en wordt één van de leiders in de markt van hardware portemonnee.

Maar het was slechts een kwestie van tijd voordat de Trezor ‘ s vlaggenschip toestel kreeg de aandacht van fraudeurs. Op Nov. 19, het bedrijf heeft een officiële waarschuwing voor gebruikers die gemeld dat een bijna identieke kopie van Trezor was gespot in de markt:

[PSA] In de afgelopen weken hebben we ontdekt dat er een niet-originele fabrieksonderdelen Trezor Één apparaten die proberen te imiteren het origineel tot op het bot.

Voor meer informatie over hoe om ter plaatse een nep Trezor Een toestel, lees dan onze laatste blog post hier: https://t.co/tpe21iTVXm

— Trezor (@Trezor) November 19, 2018

“Imitatie is de oprechte vorm van vleierij”

Een aankondiging gepubliceerd op Trezor ‘ s officiële blog begint met dit spreekwoord. Hoewel de verantwoordelijken van de vennootschap wordt erkend dat “Trezor klonen zijn uitgegeven door de jaren heen,” een “nep Trezor apparaat, geproduceerd door een andere, onbekende leverancier” heeft een “schokkende” ontdekking voor hen.

SatoshiLabs, een fabrikant devteam, heeft aanzienlijke pogingen om te verzekeren dat de gemeenschap die de nep-apparaten zijn niet identiek andere manier om de originele en hebben significant verschil in zowel de inhoud en het functioneren mogelijkheid. Zoals uitgelegd in de sectie ‘hoe te onderscheiden” richtlijnen in dezelfde blog post, de echte Trezor Een apparaat draagt een andere naam en is vervaardigd door legitieme bedrijven, terwijl de nep-apparaat is een replica van de oorspronkelijke ‘ s uiterlijke verschijning te gek potentiële kopers.

SatoshiLabs heeft ook verklaard dat de nep-apparaten direct kon worden gespot door hun verpakking, die verschilt van de legitieme apparaat door het ontwerp van de speciale holografische markeringen en de aanwezigheid van lelijke ‘Made in China’ – markeringen. Hoewel imitatie kan worden “de oprechte vorm van vleierij,” het is waarschijnlijk dat de kleine overeenkomsten zijn tussen de apparaten einde op uiterlijkheden en niet uit te breiden tot de software, die goed kan defect zijn of zelfs volledig van malware, in het geval van de vervalsingen.

Die klanten, die worden gebruikt voor het kopen van elektronische apparaten op deze platforms als Amazon of eBay, kan worden geconfronteerd met een aanbod om de aankoop van een “slechts een keer gebruikt” of “geopend, maar nooit gebruikt” Trezor Een portemonnee. De prijs voor zo een item kan variëren van $39 tot $49.

Cryptocurrency hardware fraude

Trezor heeft ondervonden situaties van deze natuur voor, maar niet de schaamteloze kopiëren van haar producten. Het bedrijf heeft altijd benadrukt dat de software is de “veiligste” en is ongevoelig voor hacking-attacks.

Deze vorderingen werden ondervraagd als in het midden-augustus 2017, een groep hackers weten te kraken Trezor portemonnee met behulp van relatief eenvoudige methodes, zodat voor de diefstal of de identificatie van de private sleutels van die apparaten. Na een onderzoek in naar het incident, Trezor vermeld dat het zaad voor de gehackte portemonnee van de privé-sleutel is opgeslagen op een flash-memory-kaart en verplaatst naar de getroffen apparaat RAM (random access memory) tijdens het gebruik. Later werd vastgesteld dat alleen Trezor portefeuilles werden beïnvloed door de kwetsbaarheid. In reactie op het incident, Trezor uitgebracht van de firmware beveiligingsupdate versie 1.5.2 op Aug. 16 en beweerde later dat gebruikers veilig waren, en hadden niets te vrezen.

De aanvallen waren niet beperkt tot Trezor, zoals andere apparaten zijn ook beïnvloed door de bugs en slechte acteurs. Een rapport gepubliceerd door SpectreAttack in het begin van januari 2018 geopenbaard twee fouten, bekend als Kernsmelting en Spectre, die zei: het uitbuiten van kwetsbaarheden in de beveiliging van Intel, AMD en ARM-processors van een apparaat waarin ze in geïnstalleerd zijn. De lijst van apparaten die Pc ‘ s, laptops, tablets en smartphones.

De Meltdown bug getroffen Intel-chips, die werden geschat worden geïnstalleerd in ongeveer 90 procent van alle computers wereldwijd. De Spectre bug beïnvloed Intel -, ARM-en AMD-chips op elk apparaat en beide soorten malware werden gemeld geschikt om te werken in de cloud storage-omgevingen.

Het Grootboek Nano ‘ S, een andere populaire hardware portemonnee, is ook gevonden te ontbreken in termen van veiligheid. Op Feb. 5, 2017, werd ontdekt dat gebruikers toegankelijk waren voor aanslagen bij het aansluiten van hun Grootboek Nano S naar een apparaat aangetast door een hacker en gebruikt het om de overdracht van middelen tussen accounts op een regelmatige basis. De fraudeur kan eenvoudig een kopie van de rekening adressen en toegang te krijgen tot de middelen die daarin zijn opgeslagen.

In januari 2017, de deelnemers van diverse Bitcoin en de blockchain-gerelateerde bijeenkomsten werden gegeven nep Bitcoin hardware portemonnee imiteren van de legitieme producten van Trezor en het Grootboek. Dergelijke trucjes waren gericht op het stelen van de middelen die worden geplaatst op de apparaten.

Eerder, in December 2016, een hacker is erin geslaagd om nep van de identiteit van een gebruiker en overgedragen telefoonnummer van T-Mobile naar een drager genoemd Bandbreedte, die was gekoppeld aan een Google Voice-account die door de aanvaller. De hacker moet u de standaardinstellingen van alle slachtoffers, wachtwoorden en stal tientallen van Bitcoins, maar de precieze bedrag was niet geopenbaard.

Er zijn tal van kwetsbaarheden die hackers gebruiken om te stelen zuurverdiende cryptocurrencies. Met name, software-bedrijven zijn zich niet bewust van een groot aantal trucs die de hackers hebben de mouwen op, terwijl de laatste ontwikkelt steeds meer omslachtig en uitgebreide schema ‘ s te phish uit cryptos van hun nietsvermoedende slachtoffers.

Zes van de kwetsbaarheden van de hardware portemonnee

In zijn blog, Karl Kreder, Ph. D. — de mede-oprichter van de portemonnee van de fabrikant Rooster+ — schetst zes kwetsbaarheden op basis van zijn persoonlijke en professionele waarnemingen, die mogelijk kan leiden tot de hardware van portefeuilles in gevaar wordt gebracht of gehackt.

Man-in-the-Middle (MIM) – Aanval

Als waargenomen door Kreder, MIM-aanvallen kunnen van invloed zijn op een aantal koude-opslag-apparaten, waarvan de schermenvertoning acht cijfers van het adres van de ontvanger wanneer een gebruiker verzendt de fondsen. Volgens de berekeningen die hij maakte in augustus 2017, het hacken van een dergelijk apparaat kunnen worden ingevoerd voor “een relatief kleine economische kosten” (ongeveer $800) met het gebruik van het adres generatoren zoals vante.mij.

USB-Apparaat Firmware-Upgrade

Wallets zoals Grootboek en Trezor kan worden kwetsbaar wanneer wordt opgewaardeerd via een USB-poort. Deze optie is vaak toegestaan door een fabrikant met de hulp van zogenaamde USB-Apparaat Firmware-Upgrade (DFU). Zoals gemeld, de markt heeft reeds succesvolle pogingen om het gebruik van DFU op afstand dump van het geheugen van de STM32F familie van microcontrollers.

Dit kan leiden tot een aantal negatieve gevolgen voor een koude-opslag apparaat eigenaar, te beginnen met de diefstal van privé-sleutels en eindigt met een kwaadaardige acteur re-flashen van de portefeuille met kwaadaardige code tijdens een upgrade.

Kraken Pinnen

Als een regel voor het geval de hardware-apparaat verloren gaat of in handen valt van een slechte acteur, fabrikanten zoals Trezor en het Grootboek opnieuw de portemonnee als een verkeerde pin-code is ingevoerd, drie keer. Dit voorkomt dat een fraudeur van het krijgen van de controle van de portefeuille en het gebruik van een brute-force-aanvallen om compromissen te sluiten een pin-code.

Tijdens de Defcon conferentie, de Cryptotronix ontwikkelaars aangetoond dat de Trezor STM32F205 kon worden glitched door het gebruik van zowel Vcc en de klok glitching aanvallen. Als een resultaat, het apparaat wordt kwetsbaar en private sleutels verkregen kan worden door een derde partij zonder te weten de pin.

Supply Chain

Dit is het soort van kwetsbaarheid wordt geconfronteerd door Trezor Één eigenaren die gekocht valse exemplaren. Oorspronkelijk, een Trezor hardware-apparaat is beveiligd met een branded holografische stickers en super lijm die in het bezit van de huisvesting samen. Dit is verondersteld om bescherming van de portefeuille wordt geknoeid nadat het werd verzonden door de fabrikant aan een klant. Echter, als het apparaat valt in een fraudeur ‘ s handen, de laatste flash een kwaadaardige versie van de software of re-steek de sleutel. Zodra dit gebeurd is, wordt het apparaat op het lichaam wordt afgesloten met een vergelijkbare holografische sticker en lijm.

Herstel Zin

De auteur is van mening dat een herstel zin om “de meest kwetsbare stuk van de beveiliging puzzel,” omdat dit 12-24 word streng bestaat meestal uit tekst en wordt vaak opgeslagen “in een sok lade in een punt.”

Toezicht

Als gewaarschuwd door Edward Snowden, Pincodes en wachtwoorden kunnen worden verkregen door een spionage fraudeur spionage via een gewone desktop of smartphone web camera. Cryptocurrencies houders van en handelaren kunnen niet een uitzondering.

Gemeenschap reactie

De gemeenschap gereageerd op het nieuws over vervalste Trezor Één apparaten met een mix van woede en frustratie doorspekt door enige kennis. Sommigen wezen naar de zielige veiligheidsmaatregelen genomen door Trezor in vertrouwen op een holografische sticker als een veiligheidsbarrière. Anderen hebben bevestigd dat ze gekocht nep Trezor portemonnee.

Ik kan bevestigen. Ik kocht 2 op Amazon enkele maanden geleden, en ze hebben de verkeerde holografisch zegel. Nooit geopend. pic..com/Emq8ugxIMo

— Brooke (@bitcoinmom) November 19, 2018

Veel verantwoordelijke gebruikers commentaar met oproepen tot waakzaamheid en extra veiligheidsmaatregelen, terwijl opinieleiders bleef aan de zijde van de legitieme fabrikant. Natuurlijk, een vlaag van aanbevelingen en opmerkingen volgde als gebruikers aangeboden diverse tips over hoe om te houden hun portemonnee veilig met suggesties, variërend van het houden van de portefeuilles onder een matras met een shotgun in de buurt van het verlaten van de crypto markt voor het goede.

“Als u niet zelf uw privé sleutels, waarvan u niet de eigenaar van de munten”

Het faken van apparaten in een markt met een waarde van ongeveer $95 miljoen in 2017 alleen nog maar een kwestie van tijd, want het was eerder voorspeld door een aantal crypto-het-zelvers.

Hoewel de nep-software is mogelijk niet geschikt voor crypto-opslag in de eerste plaats kan het prijsverschil genoeg te lokken van nietsvermoedende gebruikers en leiden tot een wee en verliezen van hun geld. Gezien het feit dat vandaag de dag de meerderheid van de cryptocurrencies worden gehouden in het koude opslag, en 97 procent van de uitwisselingen houden liever het geld op deze manier, de vervalsing van apparaten voor crypto-opslag kan nog steeds aantrekkelijk voor fraudeurs, volgens een studie, uitgegeven door de Universiteit van Cambridge.

De deskundigen en de fabrikant zelf adviseren waakzaamheid bij het selecteren van de hardware-wallets en om ze te kopen alleen uit gecontroleerd resellers die gevonden kunnen worden in een lijst op de officiële Trezor website.

Hallo Rahul, de belangrijkste verschillen zijn het hologram en de barcode op de achterkant van de doos. De nep-Trezor kunnen worden met behulp van onze firmware, dus het is het beste niet te gebruiken. Het veiligste is om te kopen Trezor van onze officiële shop of wederverkopers.

— Trezor (@Trezor) November 20, 2018

Afgezien van de belangrijkste waarschuwing gegeven, hier en daar door Trezor – “Als u niet zelf uw privé sleutels, waarvan u niet de eigenaar van de munten” — sommige deskundigen adviseren met twee koude portemonnee en niet te houden van alle fondsen in één plaats naar diversificatie van de risico ‘ s.

Bedrijven, op hun beurt, moeten hun macht gebruiken om te proberen om te stoppen met de imitatie van hun producten via legale kanalen en implementeren van extra veiligheidsmaatregelen na een uitgebreide analyse van de nep-apparaten, als de gemeenschap van mening.