Joe Grand, bekannt als „Kingpin“, gelang es, eine Trezor-Hardware-Wallet zu hacken, die dem Geschäftsmann Dan Reich gehörte, der ihn anheuerte, um die in der THETA-Wallet enthaltenen 2 Millionen US-Dollar zurückzugewinnen.
Auf seinem YouTube-Kanal zeigt der Ingenieur und Hacker Joe Grand, besser bekannt als „Kingpin“, erklärt wie er es tat, um die Trezor-Hardware-Wallet des amerikanischen Geschäftsmanns Dan Reich zu hacken, der die fünfstellige Zugangs-PIN seiner Wallet vergessen hatte.
Obwohl es viele Geschichten von Menschen gibt, die leider aus verschiedenen Gründen den Zugang zu ihren Kryptowährungs-Wallets verloren haben, endet die Geschichte von Dan Reich, der 50.000 mit einem Freund 2018 US-Dollar in THETA investierte, mit einem Happy End. Dank Joe Grands jahrelange Karriere als Hackerzu deinem großes Geschick schon eins Sicherheitslücke auf Trezor-Geräten bereits behoben, konnte der amerikanische Geschäftsmann wieder auf seine Mittel zugreifen, die seit seiner ersten Investition um mehr als 4.000 % an Wert gewonnen hatten.
Insgesamt belief sich der in der Trezor-Hardware-Wallet hinterlegte THETA zum Zeitpunkt der Wiederherstellung auf etwa 2 Millionen US-Dollar. gemeldet Großartig für The Verge.
Es könnte Sie interessieren: Cybersicherheit: Neue Malware, die auf von Telegram erkannte Kryptowährungen abzielt
Wie begann die Geschichte?
Reich und sein Freund hatten THETA-Kryptowährungen in einer Trezor-Hardware-Wallet hinterlegt, um die Verwahrung zu behalten und den Zugriff darauf nicht zu verlieren. Ironischerweise vergaßen beide die 5-stellige PIN der digitalen Geldbörse, sodass sie nicht auf ihre Gelder zugreifen konnten, als sie im Jahr 2020 zu wachsen begannen. Obwohl die Wertschätzung von THETA zu diesem Zeitpunkt beträchtlich war, beschlossen die beiden Freunde aufzugeben, da sie sich nicht daran erinnern konnten Zugangscode.
Im Jahr 2021 bereitete ihnen THETA jedoch eine große Überraschung, als sein Wert exponentiell zu wachsen begann, bis er im vergangenen April ein Allzeithoch von 15,2 US-Dollar pro Einheit erreichte. Die Aufwärtsdynamik der Kryptowährung erneuerte das Interesse von Reich und seinem Freund, wieder Zugriff auf ihre Wallet zu erhalten, was sie weit brachte. Mehrere Hardware-Experten weigerten sich, ihnen zu helfen, bis sie Joe Grand fanden, der in Portland, USA, wohnt.
Drei Monate Versuch und Irrtum
Um auf die Hardware-Wallet zuzugreifen, stützte sich Grand auf Untersuchungen, die Saleem Rashid, ein 15-jähriger Hacker, im Jahr 2017 durchgeführt hatte, und erklärte eine Schwachstelle in Trezor-Geräten, die den Zugriff auf Gelder ohne Verwendung der PIN ermöglichte. Grand sagt, dass er aufgrund dieser Recherchen dachte, es wäre ein „Kinderspiel“, auf die in Reichs Trezor-Wallet gespeicherten Gelder zuzugreifen.
Bei seinen Recherchen entdeckte Rashid, dass in einem Update beim Einschalten einer Trezor-Wallet eine Kopie der PIN und des Schlüssels im RAM gespeichert wurde. Eine Schwachstelle, die es Grand ermöglichen würde, auf das in Reichs Wallet gespeicherte THETA zuzugreifen. Trezor-Hardware-Wallets sind jedoch mit einem hohen Sicherheitsniveau (RDP2) auf ihrem Mikrocontroller (Chip) konfiguriert, was Grand daran hinderte, den RAM zu lesen, in dem der Zugriffsschlüssel gespeichert war.
Joe Grand sagt, dass er mehrere Trezor-Geräte wie das von Reich erwerben und die gleiche Firmware darauf installieren musste, um eine Reihe von „Versuch und Irrtum“ zu beginnen, die drei Monate dauerte.
„…Es hat mich daran erinnert, dass Hacking immer unvorhersehbar, aufregend und lehrreich ist, egal wie lange man es schon macht. In diesem Fall stand mehr auf dem Spiel als sonst: Ich hatte nur eine Chance, es richtig zu machen.“
Entschlüsselung der Wallet
Letztendlich konnte Grand die Sicherheit von Trezor-Wallets mithilfe einer Fault-Injection-Methode, bekannt als Glitching; Damit war er in der Lage, die Chipspannung zu beeinflussen, die RDP2-Sicherheit zu brechen und das Wallet in den Update-Modus zu zwingen, sein eigenes Skript zu installieren und auszuführen und den Zugriffsschlüssel aus dem RAM des Wallets wiederherzustellen.
Es war ein ziemlich riskantes Unterfangen, das mehrere Male wiederholt werden musste, um den genauen Zeitpunkt zu finden, die Sicherheit der Brieftasche zu brechen. Grand verpflichtete sich gegenüber Reich, den Hack erfolgreich auf drei Wallets zu replizieren, bevor er ihn auf seinem Gerät ausführte. Wenn etwas schiefgegangen wäre und der RAM versehentlich gelöscht worden wäre, hätten Reich und sein Freund sich für immer von ihren Geldern verabschieden müssen. Insgesamt dauerte es 3 Stunden und 3 Minuten, um die 19-stellige PIN von Reich und der Brieftasche seines Freundes zu erbeuten.
Schwachstelle behoben
Lange vor den Aussagen von Joe Grand hatte das Trezor-Entwicklungsunternehmen SatoshiLabs eine veröffentlicht freigeben um diese Sicherheitslücke zu melden. Im Juli 2017 stellte das Unternehmen fest, dass die Schwachstelle bereits behoben sei. Die Entwickler haben eine neue Version der Trezor-Firmware, v1.5.2, veröffentlicht, die das Sicherheitsproblem behebt, das alle Geräte mit Versionen vor dieser Version betraf.
Damals stellte SatoshiLabs auch klar, dass die Sicherheitslücke nicht aus der Ferne ausgenutzt werden könne, sodass keine Risiken für Gelder bestehen, die auf Geräten gespeichert sind, die sich in der Obhut ihrer Besitzer befinden. Um die Sicherheitslücke auszunutzen, musste Grand daher direkten Zugriff auf die Hardware-Wallet haben. Die Trezor-Entwickler erinnerten erneut daran, dass es sich um einen Exploit mit geringem Risiko für die aktuellen Benutzer handelt.
Ein Happy End
Obwohl es sich um eine Geschichte mit einem Happy End handelt, erinnern wir uns bei Bit2Me daran, wie wichtig es ist, etwas zu tun eine schriftliche Bestätigung des semilla oder Stichworte bei der erstmaligen Konfiguration eines Hardware Wallets sowie die Erstellung einer schriftlichen Sicherung der Zugangs-PIN. Außerdem ist es wichtig, dieses Backup an einem sicheren Ort aufzubewahren, denn wenn Sie es verlieren, ist es unmöglich, Ihr Wallet wiederherzustellen und Ihr Geld zurückzugewinnen.
Die Hardware-Brieftasche Sie sind die sichersten Geräte, die es in der Kryptoindustrie gibt, um Kryptowährungen kalt und ohne Verbindung zu speichern Blockchain oder das Internet. Solange sie richtig verwendet werden, sorgen sie für ein angenehmes Erlebnis.
Lernen Sie mit der Bit2Me Academy: Wenn Sie mehr über Hardware-Wallets erfahren möchten, besuchen Sie den Artikel Was sind Hardware-Wallets?
Weiterlesen: Das Unternehmen Neodyme entdeckt einen Sicherheitsfehler, der Solana Millionen von Dollar gekostet hat
