CoinPostで今最も読まれています

Uncipheredがハードウェアウォレットの脆弱性を指摘、 Trezor製品を攻略か

画像はShutterstockのライセンス許諾により使用

ハードウェアウォレットをハック

セキュリティ企業のUncipheredは25日、暗号資産(仮想通貨)ハードウェアウォレット企業Trezorのプロダクト「Trezor Model T」をハッキングできたと主張している。

Uncipheredはウォレットからシードフレーズ(初期設定のパスワード)を解析するまでの過程を、YouTubeで披露した。攻撃者が物理的にハードウェアウォレットを奪った場合に限定されるが、チップを直接操作することで、Trezor Tモデルのハードウェアセキュリティメカニズムを迂回することができると述べている。

具体的には、Trezorのマイクロチップをオリジナルのボードから取り外し、ブレーカーボードにはんだ付けする。その後、デバイスは独自の攻撃手法を用いてTrezor Tを操作し、ファームウェアを抽出。その情報を高性能コンピューティングクラスタにアップロードする。このクラスタには約10台のGPUが搭載されており、一定期間にわたってPINを分析した。

Uncipheredの共同創設者であるEric Michaud氏は、専用のGPUチップを活用することで、最終的にデバイスのPINシードフレーズを解読することができたと主張している。

抽出したファームウェアを我々の高性能コンピューティングクラッキングクラスタにアップロードした。我々は約10台のGPUを保有しており、一定時間経過後にキーを抽出できた。

同社はこのデモを通じて教育機会を提供し、視聴者が何かを学ぶことを期待している。また、Uncipheredはウォレットの解錠に関する支援を提供しており、そのためのフォームが公式サイトに掲載されている。

Michaud氏はまた、この攻撃手法はファームウェアのアップデートでは修正できないため、Trezor Tのこの攻撃手法を修正するには、全製品をリコールする必要があると指摘。新製品に新しいチップが組み込まれるという噂を聞いており、その影響を確認する方針を示した。

関連:Ledger、オープンソース化計画を前倒し 信頼性回復を図る

Trezor側の主張

一方Trezorは、この脆弱性が新しいものではないと主張している。Uncipheredのデモの内容は、2020年初頭にKraken Security Labsの研究者たちが発見したRead Protection Downgrade(RDP)という脆弱性と類似性があると認めている。

RDPダウングレード攻撃は、Trezor OneやTrezor Model Tなどのハードウェアウォレットに使用されるSTM32マイクロチップのハードウェア脆弱性を狙った攻撃手法。この攻撃では、特殊なハードウェア、知識、物理的なアクセスを持つ攻撃者がSTM32マイクロチップの電圧を操作(グリッチ)し、設定された保護を迂回してフラッシュメモリの内容を抽出する。

「Read Protection Downgrade(RDP)」という名前は、この攻撃がマイクロチップの読み取り保護レベルを下げる(ダウングレード)ことにより、通常は保護される情報を不正に読み取る能力を持つことを示している。

TrezorのTomáš Sušánka CTO(最高技術責任者)は、RDPリスクがあっても、デバイスの物理的な盗難と極めて高度な技術的知識、先進的な装置が必要で、しかもデバイスを保護するパスフレーズ機能が有効化されていない場合にのみ、攻撃は成功すると語っている。パスフレーズは、既存のリカバリーフレーズにユーザーが独自に選んだ追加の単語を付け加えることで、全く新しいアカウント設定を設ける機能だ。

強固なパスフレーズがあれば、攻撃成功の可能性は完全に排除される。デバイスに対する物理的な攻撃を恐れるユーザーは、アカウントを保護するためにパスフレーズ保護の作成と使用方法を学ぶことを推奨する。

Trezorは海外仮想通貨メディアThe Blockへのコメントで、姉妹会社であるTropic Squareと共同でハードウェアウォレットの新しいセキュリティ構成を開発し、RDP攻撃の問題を解決するための計画を進めていると述べた。

Tropic Squareは今年2月に、初の試作品バッチ「TROPIC01チップ」の初期テストが成功し、生産段階に近づいたと発表した。このチップは攻撃者が物理的にデバイスにアクセスし、その中の情報を盗んだり操作したりする物理的な攻撃に対する耐性などが付加されている。

ハードウェアウォレットとは

秘密鍵を保管したデバイスのこと。デバイスそのものがウォレットなわけではなく、デバイスにはウォレットへアクセスするための秘密鍵が保管されている。パソコンに専用のアプリをインストールして、そこに外部デバイスを接続して管理する。パソコンに繋げていない間はインターネットに繋がっていないオフラインウォレット(コールドウォレット)になる。

▶️仮想通貨用語集

関連:Trezor、ウォレットチップのサプライチェーン管理へ

CoinPost App DL
注目・速報 相場分析 動画解説 新着一覧
03/29 金曜日
17:08
HSBC銀行がトークン化されたゴールド商品を香港で提供開始
HSBCは香港の個人投資家に向けて、オンラインバンキングとウェブサイトを通じたトークン化されたゴールド商品のアクセスを提供開始した。トークンはHSBC Orionプラットフォームで発行され、リテール向け、HSBCオンラインバンキングおよびHSBC香港モバイルアプリを通じて提供される。
15:30
Filecoinステーキング大手、Glifがポイントプログラム開始
暗号資産(仮想通貨)ファイルコイン(FIL)の、ステーキング・プロトコルGlifがポイントプログラムを開始した。FILトークン保有者は流動性プールにFILを預けることで、Glifのネイティブ・リキッド・リース・トークンである「iFIL」を受け取り、運用できる。
14:34
イーサリアム共同創設者ブテリン氏、Dencun後の改善点を語る
仮想通貨イーサリアムの共同創業者ヴィタリック・ブテリン氏は、Dencunが完了した今後の技術的な改善点を提案した。
14:11
CoinTradeがソラナ含む4銘柄の取扱い開始、ステーキングサービスにSOL追加
暗号資産(仮想通貨)販売所CoinTradeがソラナを含む4銘柄の取り扱いを開始。ステーキングサービスにSOLを追加した。条件をクリアすることでSOLをプレゼントするキャンペーンを開催中。ジパングコイン(ZPG)など三井物産デジタルコモディティーズも新規で取り扱う。
12:55
日本DAO協会4月1日に立ち上げ 府令改正も同日公布
日本DAO協会が4月1日に設立される。DAOの自主規制や健全なエコシステムづくりを推進していくもので、協会自体の運営もDAOで行う計画だ。
12:24
ビットコイン7万ドル台で高止まり、ブラックロックの新規ファンド好調でRWA関連銘柄買われる
暗号資産(仮想通貨)市場ではビットコインが7万ドル台新高値をうかがう展開。アルト相場ではブラックロックのトークン化ファンド「BUIDL」絶好調の影響で、ONDOなどのRWA関連銘柄が買われた。
11:30
Googleサーチ、ビットコインやArbitrumなどのアドレスで資産残高を確認可能に
全ての資産を表示するわけではなく、残高は各ネットワークのネイティブトークン(ETHやARB、OPなど)のみを表示。
10:50
5月のローンチ目指す、香港でビットコイン現物ETF申請のVSFG
仮に香港で承認された場合、アジア初の事例となり、今後日本でのビットコインETF上場や発行にも追い風になりうるとみられる。
10:00
FTXのサム前CEOに懲役25年の判決 カリフォルニアで服役へ
米国地方裁判所の判事は28日、破綻した仮想通貨取引所FTXのサム前CEOに対して懲役25年、および最大1.7兆円の資産没収という判決を言い渡した。
08:40
2.6兆円相当のBTC保有数到達、ブラックロックのビットコイン現物ETF
純流入再び加速 ブラックロックのIBIT・ビットコイン現物ETFの運用資産は初めて、250,000 BTC(2.6兆円)を超えた。1月11日の取引開始からわずか11週間で2兆円…
08:10
Wormholeの仮想通貨「W」、取得開始日明かす
Wormholeは、今月7日に、Wトークンのエアドロップアロケーションや適合対象アドレスを公開。ソラナ、EVM系、Sui、Aptos、Osmosis、Injectiveといったネットワークでのユーザーや、ソラナNo.1NFTコレクションである「Mad Lads」のホルダーを対象としている。
07:40
米投資会社、マイクロストラテジーの株はBTCより割高と指摘
マイクロストラテジーの株価から概算する仮想通貨ビットコインの価格は17万ドル超であると米ケリスデールが分析。同社の株は、ビットコインに対し正当ではないプレミアムがついて取引されているとの見方を示した。
07:20
アバランチ財団「Codebase」、最初の支援プロジェクト15社を選出
アバランチではすでに「Colony Lab」という分散型アクセラレーターが活動しているが、今回Codebaseと連携し支援対象への資金提供を拡大し、1プロジェクトにつき、100万ドルを超える金額を提供する可能性がある。
06:45
5月承認の可能性低いもBitwiseらがイーサリアム現物ETFの上場申請行う
イーサリアムETFが現在の多くの申請の最終期限となる5月に承認される見込みは、SECがイーサリアム財団を調査しているとの報道などを受け大幅に後退している。1月には70%あったが、現在は20%程度まで低下してきた模様だ。
05:50
Bybit、ソラナミームコイン「POPCAT」の永久先物提供
ソラナの仮想通貨ミームコインへの需要は未だ高い。代表的な犬系ミームコイン「WIF」は29日過去最高値を更新し、前日比で20%上昇している。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア
イベント情報
一覧
2024/04/06 ~ 2024/04/09
香港 香港コンベンション・アンド・エキシビション・センター3FG
2024/04/09 14:00 ~ 16:00
その他 オンライン
2024/04/13 ~ 2024/04/14
東京 東京都港区
2024/04/13 10:00 ~ 17:00
その他 オンライン
重要指標
一覧
新着指標
一覧