महत्वपूर्ण तथ्यों:
एक परीक्षण में, अनसिफर्ड ने प्रदर्शित किया कि ट्रेजर टी से एक स्टार्टअप मुहावरा और पिन कैसे पुनर्प्राप्त किया जाए।
ट्रेजर ने अनुमान लगाया है कि उन्होंने 2020 से ज्ञात और रिपोर्ट की गई भेद्यता का उपयोग किया है।
Unciphered, एक क्रिप्टोसिक्युरिटी फर्म जो खोए हुए या चोरी हुए क्रिप्टोकरंसी को पुनर्प्राप्त करने के लिए समर्पित है, ने ट्रेजर टी हार्डवेयर वॉलेट तक पहुंचने का एक तरीका खोजने का दावा किया है। इस प्रकार की हैक केवल डिवाइस तक भौतिक पहुंच के साथ ही संभव है और एक के बीच में इसका खुलासा किया जाता है। बिटकॉइन हार्डवेयर वॉलेट की सुरक्षा को लेकर विवाद।
कंपनी के अनुसार, यह तरीका वन और टी मॉडल में मौजूद एसटीएम32 चिप में भेद्यता का लाभ उठाने पर आधारित है, जो एकीकृत फ्लैश और राइट (ओटीपी) पर प्रोग्राम करने योग्य डेटा को “डंप” करने की अनुमति देता है। अनसिफर्ड यह सुनिश्चित करता है भेद्यता को चिप स्तर पर पैच नहीं किया जा सकता है, बयान के अनुसार कंपनी ने कॉइनडेस्क मीडिया आउटलेट को पेशकश की।
यह पहली बार होगा कि किसी ट्रेजर मॉडल टी के हैक होने की जानकारी का खुलासा किया गया है। हालांकि, यह ट्रेजर कंपनी के हार्डवेयर वॉलेट के लिए इस प्रकार का पहला हैक नहीं होगा, क्योंकि जनवरी में एक वीडियो जारी किया गया था जहां यूएसडी CriptoNoticias की रिपोर्ट के अनुसार, एक मॉडल का 2 मिलियन बरामद किया गया था। क्रिप्टोक्यूरेंसी सुरक्षा कंपनी ने एक ट्वीट में कहा, “वह वीडियो पुराने फर्मवेयर के साथ ट्रेजर वन का हैक दिखाता है, हमारा हैक नवीनतम फर्मवेयर के साथ ट्रेजर टी के लिए है।”
अनसिफर्ड हैकिंग के विभिन्न पहलुओं के बारे में एक वीडियो बनाया ट्रेजर टी पर चलते हैं जो मीडिया आउटलेट उस उद्देश्य के लिए प्रदान करता है। वहां उन्होंने प्रदर्शित किया कि उन्होंने बीज वाक्यांश और डिवाइस का पिन पुनर्प्राप्त किया। क्रिप्टोक्यूरेंसी सुरक्षा फर्म ने अतीत में एथेरियम वॉलेट को हैक कर लिया होगा और वे अपने होम पेज पर बताते हैं कि वे बाजार पर किसी भी वॉलेट को हैक कर सकते हैं।
यह वीडियो ट्रेजर टी भेद्यता को प्रदर्शित करने के लिए अपनाए गए कुछ चरणों को दिखाता है। स्रोत: अनसिफर्ड / यूट्यूब।
अपने हिस्से के लिए, ट्रेजर ने आउटलेट को बताया कि उनके पास यह समझने के लिए पर्याप्त जानकारी नहीं है कि उन्होंने किस विधि का उपयोग किया। हालाँकि, वे मानते हैं कि यह “आरडीपी डाउनग्रेड हमला” हो सकता है। जैसा कि ट्रेजर ने 2020 में अपने ब्लॉग पर बताया, “रीड प्रोटेक्शन डाउनग्रेड,” या आरडीपी, हमले के लिए डिवाइस की भौतिक चोरी, अत्यंत परिष्कृत तकनीकी ज्ञान और उन्नत उपकरण की आवश्यकता होती है।
अनसिफर्ड भी यह सुनिश्चित करता है वे इस बात की पुष्टि या खंडन करने की स्थिति में नहीं हैं कि क्या ट्रेजर टी हैक आरडीपी डाउनग्रेड हमले के माध्यम से किया गया था, इस भेद्यता का फायदा उठाने के तरीके पर “वर्तमान प्रतिबद्धताओं और गैर-प्रकटीकरण समझौतों” का हवाला देते हुए।
अनसिफर्ड के बयान के अनुसार, “इसके अलावा, कोई भी तकनीकी खुलासा Satoshilabs के ग्राहकों को संभावित जोखिम में डाल देगा, जब तक कि वर्तमान उपयोग में STM32 के अलावा एक नई चिप का उपयोग नहीं किया जाता है।”
कौन जिम्मेदार हैं
अनसिफर्ड ने आलोचना की कि 2020 में STM32 चिप की भेद्यता की रिपोर्ट करने के अलावा ट्रेजर ने कुछ भी नहीं किया है। आपकी डिवाइस मौलिक रूप से असुरक्षित है,” अनसिफर्ड ने कॉइनडेस्क को बताया।
ट्रेजर ने कहा, “अनसिफर्ड के दावों के विपरीत, ट्रेजर ने बहन कंपनी ट्रॉपिक स्क्वायर के माध्यम से दुनिया के पहले पारदर्शी और श्रव्य सुरक्षित तत्व के विकास के साथ इसे हल करने के लिए महत्वपूर्ण कदम उठाए हैं।”
हार्डवेयर वॉलेट के आसपास विवाद
इस तथ्य एक विवादास्पद लेजर अपडेट से उत्पन्न विवाद के साथ मेल खाता है। जैसा कि CriptoNoticias ने रिपोर्ट किया है, बिटकॉइन समुदाय ने एक नई सुविधा की आलोचना की है जो लेजर उपयोगकर्ताओं को अपने पुनर्प्राप्ति बीज को क्लाउड में सहेजने की अनुमति देता है। परिणामस्वरूप, लेजर ने रिकवर नामक फीचर की रिलीज में देरी करने का फैसला किया।
