Ada hacker – “Kingpin” mendedahkan kejayaannya menggodam wallet Trezor One yang memiliki simpanan lebih $2 juta.
Individu tersebut atau nama sebenarnya, Joe Grand yang berasal dari Portland menceritakan kejadian ini bermula pada 2018.
Pada ketika itu, ada usahawan dari New York, Dan Reich membuat keputusan untuk mengeluarkan sejumlah pelaburan asal yang bernilai sekitar $50,000 dari rangkaian Theta.
Ketika itu, barulah Reich dan rakannya menyedari yang mereka terhilangkan PIN sekuriti peranti Trezor One yang menempatkan token tersebut.
Mereka memasukkan PIN dengan cubaan sebanyak 12 kali, sehinggalah akhirnya mengalah untuk tidak meneruskan kerana wallet akan terkunci selamanya selepas 16 kali kegagalan cubaan masuk.
Pelaburan mereka mencecah $2 juta pada tahun ini dan satu-satunya cara untuk mendapatkan keuntungan tersebut adalah melalui penggodaman wallet.
Reich dan rakannya menghubungi Grand. Difahamkan penggodam ini mengambil masa 12 minggu untuk menggodam wallet tersebut sebelum menemui jalan keluar.
Cara-caranya:
- Ketika kemaskini firmware, wallet Trezor One kebiasaannya memindahkan PIN dan kuncinya ke dalam RAM.
- Selepas kemaskini selesai, barulah PIN dan kuncinya dipulangkan semula ke dalam peranti itu.
- Grand mendapati versi kemaskini kali ini tidak memindahkan informasi demikian tetapi hanya menyalin untuk simpanan di dalam RAM.
- Ini bermakna, jika penggodaman gagal dan RAM memadamkan informasi tersebut, ia masih ada disimpan di dalam peranti.
- Grand mempraktikkan fault injection dan berjaya melangkaui sekatan perlindungan untuk memperoleh PIN untuk mengakses wallet dan aset.
Bagaimanapun, penggodaman ini boleh dilaksanakan pada peranti versi terdahulu yang telah pun diperhalusi dengan sekuriti yang lebih tinggi.
Jika syarikat peranti ini memperkenalkan perubahan yang baharu terhadap produknya, mungkin lebih sukar untuk sekuritinya ditembusi penggodam.