Un rapport publié par Kaspersky, célèbre pour son antivirus éponyme, révèle qu’un investisseur a perdu 1,33 bitcoin (180 000 R$) après avoir stocké ses crypto-monnaies dans un portefeuille matériel qui avait été trafiqué.
Selon le rapport de la société, le portefeuille Trezor Modèle T parait en parfait état. En plus d’avoir été acheté auprès d’un vendeur réputé, ses sceaux holographiques de protection (à la fois sur la boîte et sur le portefeuille lui-même) étaient intacts.
Lors du démarrage du portefeuille, tout semblait également normal. Autrement dit, aucun avertissement indiquant que l’un de ses composants avait été modifié par des tiers n’a été affiché.
Même sans aucune preuve de falsification, le propriétaire du portefeuille a continué à affirmer que ses bitcoins n’avaient pas été déplacés par lui. Le portefeuille n’était même pas connecté à l’ordinateur, a ajouté la victime.
Kaspersky révèle la méthode utilisée par les attaquants
Poursuivant l’analyse, Kaspersky souligne toutes les qualités qui font du Model T by Trezor l’un des portefeuilles de crypto-monnaie les plus populaires en raison de sa sécurité. En allant plus loin, le portefeuille piraté ne semblait pas être différent d’un portefeuille d’origine.
« Toutes les fonctions ont fonctionné comme elles le devraient et l’interface utilisateur n’était pas différente de l’original. »
Cependant, d’autres recherches ont révélé un problème avec la version de chargeur de démarragela partie chargée de vérifier la signature du micrologicielessentiel pour la sécurité du portefeuille.
« Nous avons découvert que le fournisseur n’avait jamais publié la version 2.0.4 du bootloader »a pointé Kaspersky. « Le journal des modifications du projet sur GitHub indique de manière concise que cette version a été » ignorée en raison de faux appareils « . »
Par la suite, le portefeuille a ensuite été ouvert par l’entreprise pour rechercher des modifications du matériel. Des différences ont déjà été trouvées dans le modèle d’étanchéité.
« Il était difficile d’ouvrir le boîtier : ses deux moitiés étaient maintenues ensemble par une quantité généreuse de colle et de ruban adhésif double face, au lieu du collage par ultrasons utilisé sur les Trezors. [originais]”décrit l’entreprise. « Encore plus curieux, à l’intérieur se trouvait un microcontrôleur entièrement différent montrant des traces de soudure ! »
Enfin, il a également été noté que certains composants matériels avaient été modifiés pour rendre l’attaque possible.
Comment l’attaque du Trezor Model T s’est terminée
Bien que Kaspersky affiche une capture d’écran des transactions entrantes et sortantes, les adresses ont été masquées par l’entreprise.
Quoi qu’il en soit, il est à noter que les pirates ont été patients. Ils ont attendu un peu plus d’un mois pour voler les crypto-monnaies, peut-être dans l’espoir d’un nouveau transfert ou bien pour ne pas éveiller les soupçons sur le matériel.
Quant à l’attaque, la société affirme que le portefeuille a subi trois modifications. Le premier, mentionné plus haut, a empêché l’apparition de l’alerte Trezor.
La seconde était liée à micrologiciel. En bref, les pirates ont remplacé le processus de génération aléatoire de la phrase de départ par d’autres prédéterminés par eux, un total de 20. Autrement dit, les escrocs auraient accès à tous les fonds qui seraient déposés aux adresses fournies par le portefeuille modifié.
Selon l’expert Jefersson Rondolfle seul moyen pour un utilisateur de se protéger est d’acheter les produits directement auprès du fabricant ou d’un revendeur officiel, tel que KriptoBR.
« Jusqu’alors, nous connaissions l’existence de contrefaçons sur le Ledger et le Trezor One, mais c’est la première fois que la falsification du Trezor T est identifiée. revente officielle. – il a dit rondolf.
Enfin, Trezor dispose d’un autre mécanisme de sécurité qui permet aux utilisateurs de définir un mot de passe supplémentaire. Cependant, les pirates ont modifié le système afin que seul le premier caractère de ce mot de passe soit enregistré. Par conséquent, même un tel mot de passe n’augmenterait pas la sécurité de la victime.
« Le faux portefeuille de crypto-monnaie fonctionnerait normalement, mais les attaquants en avaient le contrôle total depuis le début. »
Comme une telle attaque est très sophistiquée, Kaspersky note que le seul moyen de l’empêcher est d’acheter le portefeuille directement auprès du fournisseur officiel. Une autre façon serait de rechercher la version de chargeur de démarragecar un seul semble avoir une telle échappatoire.