Bitcoin tarafından önderlik edilen kripto para endüstrisinin büyümesiyle giderek artan bir sorun haline gelen cüzdanların güvenliği, yeni çalışmaları da beraberinde getiriyor. Olası saldırılara sebep olabilecek kritik kusurların bilinmesinin cüzdanların güvenliği açısından önemli olduğunu biliniyor. Bunun için Kraken Security Labs, yeni bir çalışmaya imza attı.
Kraken Security Labs, endüstride öne çıkan isimler Trezor, Trezor One ve Trezor Model T tarafından sunulan kripto para cüzdanlarından seed (tohum) elde etmek için bir yöntem geliştirdi ve bunu kamuoyuyla paylaştı.
Soğuk cüzdana yapılan bu saldırı ise sektörde oldukça ilgi gördü.Earlier today Kraken Security Labs reported a *responsible disclosure* of a vulnerability in both of @Trezor’s #crypto hardware wallets.
— Kraken Exchange (@krakenfx) January 31, 2020
You can read the Trezor team’s full response here: https://t.co/YumGfLj50d
Seed Nedir?
Mobil cüzdanlar, anahtar kelime grubu kullanarak cüzdan dosyalarına erişim sağlayan özel anahtarlar oluşturur. Bir seed, kripto para cüzdanlarında paraya erişmek için kullanılan bir kullanıcı adı-şifre kombinasyonuna benzerlik gösterir. Dolayısıyla her tohum tahmin edilmesi zor, benzersiz ve saldırılara karşı korunaklı olmalıdır. Birisi sizinle aynı seed’i oluşturmuşsa hesabınıza da erişebilir. Seed’in önemi sebebiyle gelebilecek saldırılara karşı, uyarı için bir saldırı yöntemi geliştiren Kraken, saldırının detaylarını paylaştı.Kraken Saldırıyı Nasıl Gerçekleştirdi?
Kraken Security Labs, saldırının aşamalarını aktardı. Şifrelenmiş bir seed’in elde edilmesi için yapılan saldırı, kısa süreli bir voltaj bozukluğuna dayanıyor. Saldırı için yapılan ilk araştırma, kimi teknik bilgiler ile birkaç yüz dolar maliyetinde ekipman gerektireceğini ortaya koysa da Kraken (veya saldırganlar) tarafından yaklaşık 75 dolar değerinde, çok daha uygun fiyatlı bir glitching cihazı (voltaj arızası çıkartan cihaz) geliştirilebildi. Sonrasında ise 1-9 haneli bir şifre ile korunan ancak saldırganlar için etkisiz hale gelen seed’in şifresi kırıldı. Saldırıda Trezor cüzdanlarında kullanılan mikrodenetleyici içindeki donanımsal kusurlar kullanıldı. Ne yazık ki Trezor, cüzdan tasarımından bu yana bu kusurları ile zaten biliniyordu. Bu sebeple Trezor ekibi, donanımını yeniden tasarlamadıkça bu saldırıları önlemenin mümkün olmayacağı düşünülüyor.
Bitcoin ve Diğer Kripto Paraları Korumak İçin Ne Yapmalı
Raporda, Trezor cüzdanlarındaki donanım yeniden tasarlanana kadar kullanıcıların korunması için bazı tavsiyeler de aktarıldı. Buna göre kullanıcıların, Trezor cüzdanına hiç kimse tarafından fiziksel erişim sağlamasına izin vermemesi tavsiye ediliyor. Bu, yatırımcıların bütün birikimlerini kaybetmesine sebep olabilecek nitelikte hayatî bir hata olabilir. İkinci olarak ise BIP39 parolasının Trezor istemcisi ile etkinleştirilmesi öneriliyor. Bu parolanın kullanımın çok da pratik olmadığı belirtilse bile cihazda saklanmaması nedeniyle saldırıyı önleyeceği ifade ediliyor. Bir güvenlik testi olarak yapılan bu saldırının, KeepKey cüzdanına yönelik çalışmaya oldukça benzediği de ortaya çıkan bulgular arasında bulunuyor. Şirketin bundan önceki çalışmasında KeepKey’in bir türev olması ve tüm cihazların aynı çip ailesini kullanması nedeniyle cüzdanlar arasında benzerlikler görüldüğü ortaya çıkmıştı. Kraken saldırganlar fark etmeden önce olası saldırı yollarını araştırdığını ve bu konuda Trezor ekibiyle işbirliği yapmakta olduğunu bildirdi. Trezor yetkilileri ise tüm Bitcoin ekosistemi güvenliğini etkileyecek bu işbirliğinden memnun olduklarını belirtti.Sorumluluk Reddi
Sitemizde yayınlanan her içerik, iyi niyet çerçevesinde kaleme alınmıştır ve genel manada bilgi vermek amacıyla yazılmaktadır. Sitemizden edindiği bilgiler ışığında, okuyucunun yaptığı her hamle, çok net bir şekilde kendi riskidir ve siteyle bir ilgisi yoktur.
Sponsor
Sponsor