Herkese selam arkadaşlar, geçtiğimiz günlerde Kraken Security Labs tarafından Trezor One ve Trezor T modellerinde mikrodenetleyicinin voltaj ayarlarıyla oynayarak cüzdana sızılabildiği tespit edildi ve Trezor ekibi böyle bir güvenlik açığının olduğunu doğruladı. Bu güvenlik açığından faydalanmak için saldırgan kişinin cüzdanınıza fiziksel olarak erişebilmesi gerekiyor. Her ne kadar bir saldırganın cüzdanınıza fiziksel olarak ulaşması zor bir durum olsa da bir yatırımcının her türlü ihtimale karşı önlem alması ve bir hardware wallet üreticisinin de bu güvenlik açığını kapatması gerektiğini düşünüyorum. Trezor ekibi bu konuda -Physical access is a threat to 6-9% of people, according to our research- açıklamasını yaptı, fiziksel erişim kullanıcıların %6sı ile %9u için bir risk teşkil ediyormuş. Kraken'in iddiasına göre fiziksel bir saldırı sonucunda saldırgan kişinin cüzdanınızın seed mnemonic'ine erişmesi sadece 15 dakika sürüyormuş ve bu güvenlik açığı donanımsal olduğu için kapatılamıyormuş. Yine de -seed extension- yapılarak saldırıdan bir miktar korunmak mümkünmüş. Yani 12/24 kelime yerine 13/25 kelimeye sahip olacak şekilde cüzdanınızı kullanmanız gerekiyor. KeepKey de aynı güvenlik açığına sahip ama Ledger Nano S/X modellerinde açık bulunmuyor.
Trezor'un "passphrase kullananlar bu açıktan etkilenmiyor" açıklaması gerçekten gülünç olmuş burada aslında.
https://twitter.com/Trezor/status/1223258154751922176
Varsayılan olarak passphrase kullanmaya zorlamıyor ne Ledger ne de Trezor. Bu bir opsiyon. Eğer bunu kullanırsan daha güvenli olur diyor. Ben bunu kullanmadım, Trezor'u kaybettim, birisi de gitti bilgisayara bağladı, 15 dakikada çözdü ve her şeyi çekti.
Öyle basit bir şey değil aslında ama çok basitmiş gibi algı oluşturmaları hoş değil.
Trezor'da madem böyle bir açık var, hemen yazılım güncellemesi ile passphrase'i zorunlu tutmalı. Ya da bütün Trezor sahiplerine yeni açıksız model göndermeli. İkincisi olmayacağına göre ilki daha kolay ve basit bir çözüm.
sebebi altta mesajda yazılıdır.kolay gelsin.
