Wpis z mikrobloga

Transkrypcja wystąpienie szefa zespołu bezpieczeństwa firmy Ledger. Charles Guillemet opowiada o tym jak przełamali zabezpieczenia kilku portfeli sprzętowych. http://diyhpl.us/wiki/transcripts/breaking-bitcoin/2019/extracting-seeds-from-hardware-wallets/
TLDR: -opracowali metodę odgadywania PINu Trezora na podstawie pomiaru zużycia energii przez mikrokontroler.
-stworzyli “magiczne pudełko” które ekstraktuje seed z “Trezor One”, “Trezor T”, “B wallet” oraz “Keepkey”. Producenci tych portfeli nie będą w stanie załatać wykrytej dziury poprzez aktualizację oprogramowania i w związku z tym zespół Ledger’a nie ujawnia żadnych szczegółów ataku. Jedyne czym się chwalą to informacja, że koszt podzespołów stworzonego przez nich “magicznego pudełka” to około 100$, a czas potrzebny do wykonania ataku to zaledwie 5 minut.
-HTC Exodus phone: wykryto poważne podatności w mechanizmie “social key recovery”. Mechanizm polega na tym, że wybiera się 5 zaufanych osób, którym (poprzez aplikację) przekazuję się “sekret/tajemnicę”. Aby odtworzyć ‘seed’ należy użyć 3 z 5 “sekretów”. Niestety w skutek błędnej implementacji mechanizmu wystarczy wykraść (z aplikacji na smartfonie zaufanego znajomego) tylko jeden “sekret” by obliczyć cały seed.
-Udało się rozpracować portfel Ellipal ( #bitcoin #kryptowaluty )
Obserwuj tag --> #handshakecontent <--tylko techniczne kwestie związane z kryptowalutami

Link do slajdów użytych w wystąpieniu: https://docs.google.com/presentation/d/1FOL56v7CmhqgH1o6pICMMBy0H1JErzY-kThUijJnPjQ/edit#slide=id.p1