Hardware Wallet - Hacker rettet 2 Millionen Dollar in Theta

Ein Hardware Wallet wie der Trezor One oder der Ledger bietet eine sichere Offline-Speicherung von Kryptowährungen. Der private Schlüssel der für das Bestätigen und Signieren von Krypto-Überweisungen benötigt wird, wird ausschließlich auf dem Wallet gespeichert. Zusätzlich kann ein Wiederherstellungspasswort als Backup angelegt werden. Allerdings kann ein vergessener Pin zu einem Problem werden ebenso wie es Dan Reich und sein Freund erfahren mussten. Sie hatten 50․000 US-Dollar in die Kryptowährung Theta investiert und darauf abgelegt. Als der Kurs der Coins in die Höhe schoss und schließlich 2 Millionen US-Dollar erreichte konnten sie nicht weiterhin auf ihre Wallet zugreifen da sie die Pin vergessen hatten.



Auf der Suche nach einem Experten der ihnen helfen konnte, stießen sie zunächst auf einen Schweizer Finanzmann der jedoch wenig vertrauenswürdig wirkte. Schließlich nahmen sie Kontakt zu Joe Grand auf, einem Hacker aus dem L0pht-Kollektiv der ebenfalls unter dem Namen Kingpin bekannt ist. Grand wirkte seriöser und war transparent in seinem Vorgehen. Um die Daten auf dem Trezor One nicht zu gefährden, kaufte er mehrere Wallets mit identischer Firmware-Version. Da die Wallet maximal 16 Versuche erlaubt den Pin richtig einzugeben bevor die Kryptoschlüssel gelöscht werden, musste Grand schnell handeln.



Er stieß auf mehrere bekannte Methoden um den Pin der Hardware-Wallet zu extrahieren. Schließlich gelang es ihm die Krypto-Coins im Wert von 2 Millionen US-Dollar zu retten. Grand hatte bereits 1998 vor dem US-Senat ausgesagt, dass er das Internet vom Netz nehmen oder komplett überwachen könne. Sein Wissen und seine Erfahrung haben ihm geholfen das Problem von Dan Reich und seinem Freund zu lösen.



Der Fall zeigt: Die Sicherheit von Kryptowährungen nicht nur von technischen Vorkehrungen wie Hardware Wallets abhängt, allerdings auch von der Sorgfalt der Nutzer. Ein vergessener Pin kann schnell zu einem Verlust der Coins führen. Deshalb ist es wichtig; ein Wiederherstellungspasswort als Backup anzulegen und an einem sicheren Ort aufzubewahren. Auch ein erfahrener Hacker kann in solchen Fällen helfen freilich sollte man sich an seriöse Experten wenden und Vorsicht walten lassen um Betrug zu vermeiden.



Wie ein Experte den Pin eines Trezor One hackte


Die Hardware-Wallets haben in den letzten Jahren an Bedeutung gewonnen, da sie die Sicherheit beim Speichern von Kryptowährungen optimieren können. Doch auch diese Geräte sind nicht unbedingt vor Hackern sicher. Ein Beispiel dafür lieferte der Sicherheitsforscher Joe Grand der erfolgreich den Pin eines Trezor One hackte.



Verschiedene Varianten des Hacks


Grand nutzte dabei eine Variante des sogenannten Voltage-Glitching. Er entfernte die an den Chip angebundenen Kondensatoren um die Spannung besser manipulieren zu können. Durch das kurzzeitige Senken der Versorgungsspannung des Trezors unter einen Schwellwert • an dem der verwendete STM32 noch funktioniert jedoch sich noch nicht abschaltet • konnte er den Pin des Geräts auslesen.



Grand identifizierte im Quellcode des Trezor One eine Schwachstelle in der Firmwareversion die es ihm ermöglichte, den Pin beim Start des Geräts in den RAM zu kopieren. Dies war möglich – da der Trezor den Pin damals nicht mehr im Flashspeicher ablegte. Die neueren Firmwareversionen des Geräts haben dieses Problem behoben und legen den Pin nun nicht mehr im RAM ab.



Wie funktioniert Voltage-Glitching?


Voltage-Glitching ist ein Verfahren, bei dem die Spannungsversorgung eines Chips kurzzeitig manipuliert wird um ihn zu beeinflussen. Dabei senkt der ChipWhisperer die Versorgungsspannung des Trezors unter einen Schwellwert • an dem der verwendete STM32 noch einwandfrei arbeitet • aber sich noch nicht abschaltet. Das Glitching funktioniert umso besser · wenn die an den Chip angebundenen Kondensatoren entfernt werden · die normalerweise die Spannung stabilisieren würden.



Risiko des Hacks


Das Hacken des Pins birgt ein hohes Risiko, da ein Fehler zum Verlust des Pins und damit zum Verlust des Zugangs zu den Kryptowährungen führen kann. Es ist deshalb wichtig, dass Hersteller wie Trezor und andere Hardware-Wallet-Anbieter regelmäßig Sicherheitsupdates herausgeben um potenzielle Schwachstellen zu beseitigen.




Zuletzt aktualisiert am Uhr





Kommentare

Die Sicherheit von Kryptowährungen hängt nicht nur von der Wahl der Wallet ab, allerdings ebenfalls von der Sicherheit der verwendeten Geräte. Dieser Fall zeigt, dass auch Hardware-Wallets nicht unbedingt vor Hackern sicher sind. Essenziell bleibt dass Hersteller regelmäßig Sicherheitsupdates herausgeben und dass Nutzer ihre Geräte mit den neuesten Updates versehen. Außerdem ist es ratsam, Kryptowährungen auf verschiedenen Geräten zu speichern um das Risiko von Verlusten zu minimieren.


Anzeige