Aliansi Koin

| EXPANDING BLOCKCHAIN TO NEW HORIZONS

Trezor

Pengamanan Trezor Berhasil Dibobol!

Dalam sebuah video yang ditayangkan di YouTube, seorang ahli komputer sekaligus hacker bernama Joe Grand. Ia menceritakan kisahnya ketika berhasil membongkar sistem keamanan dari salah satu hardware wallet terkemuka, Trezor. Grand, yang berasal dari Portland, kota terbesar di negara bagian Oregon, Amerika Serikat. Ia mengisahkan bahwa kesuksesannya ini dimulai dari pertemuannya dengan Daan Reich, temannya yang sekaligus seorang pengusaha besar dari New York. Daan mengalami masalah karena lupa PIN keamanan dari Trezor miliknya yang masih menyimpan aset kripto yang jika dicairkan dapat bernilai 2 juta USD.

Reich terakhir kali menggunakan Trezor tersebut pada 2018 untuk melakukan pembelian token Theta. Ia kemudian baru sadar bahwa tidak dapat mengingat baik PIN maupun 12 keywords-nya ketika ingin menjual token tersebut. Grand sendiri menghabiskan waktu 12 minggu lebih mencari cara untuk membobol benda tersebut sebelum akhirnya menemukan teknik khusus untuk membukanya. Tentunya hal ini harus dilakukan dengan sangat hati-hati. Hal tersebut mengingat Trezor memiliki sistem pengamanan yang menyebabkan data di dalamnya akan terhapus total jika terjadi kesalahan input PIN sebanyak 16 kali.

Sistem Update Trezor dan Celah Keamanannya

Kunci dari teknik yang digunakan oleh Grand terletak pada sistem update firmware Trezor One yang secara otomatis melakukan pemindahan PIN dan kata kunci ke dalam RAM, sebelum kemudian mengembalikannya lagi ke sistem penyimpanan setelah proses update selesai. Grand mendapati bahwa pada versi firmware yang dipakai pada wallet milik Reich, data tersebut bukan dipindahkan melainkan disalin. Hal ini berarti bahwa pada kondisi tersebut jika seandainya terjadi kegagalan input PIN sampai 16 kali dan data pada RAM terhapus oleh sistem pengamanan; masih ada data pada sistem flash yang dapat disalin kembali ke dalam RAM; Atau singkatnya, Grand dapat mencoba berbagai kemungkinan PIN dengan akses langsung pad RAM tanpa perlu khawatir data terhapus permanen.

Melalui cuitan pada akun Twitter resminya, pihak Trezor menginformasikan bahwa celah keamanan tersebut telah diperbaiki pada versi terbaru. Namun tentunya, tanpa perubahan pada chipset yang digunakan, ada kemungkinan metode injeksi kesalahan pada mikrokontroler masih tetap dapat dilakukan.