ניווט מהיר בפוסט
ארנק טרזור הינו ארנק החומרה הראשון שנוצר ומשמש לאיחסון ושמירה על מטבעות דיגיטליים.
איך הכל התחיל
הוקמה על ידי SatoshiLabs בשנת 2013, טרזור הינה חברה המייצרת ארנקי חומרה והיא מאפשרת למשתמשים לסקור, לנהל, לשלוח ולקבל מטבעות דיגיטליים.
בשנת 2014 כשנה לאחר הקמתה יצרה את ארנק החומרה הראשון בעולם – Trezor Model One, ו-4 שנים מאוחר יותר יצרה את הדגם המתקדם ביותר שלה – Trezor Model T.
ארנקי טרזור תומכים ביותר מ-1000 מטבעות ואסימוני ERC-20 ומעל מיליון יחידות נמכרו ברחבי העולם מאז הקמתה.
טרזור הינה 100% בבעלות עצמאית, דבר המאפשר לה קבלת החלטות ופיתוח עצמאיים.
ארנקי טרזור
ארנקי טרזור הם ארנקי חומרה מרובי מטבעות המשמשים לאחסון מפתחות פרטיים עבור מטבעות קריפטוגרפים במצב לא מקוון.
ביצוע עסקאות במטבעות קריפטוגרפים מחייב שימוש במפתחות פרטיים. המפתחות האלה, שבדרך כלל מאוחסנים באינטרנט, רגישים לגניבות ופריצות.
ארנקי החומרה של טרזור מבוססים על מכשירים, מה שאומר שהם משתמשים במנגנוני אחסון (כונני USB) לאחסון מפתחות פרטיים, ובכך מקשים על האקרים לגשת למפתח ממיקום מקוון.
טרזור מציעה 2 ארנקי חומרה:
Trezor Model One
הארנק הושק לראשונה בשנת 2014 והוא ארנק החומרה הראשון שיוצר לאיחסון מטבעות קריפטוגרפיים.
טרזור Model One מאפשר איחסון של 12 מטבעות מקוריים וכל הטוקנים מסוג ERC-20. לרשימה המלאה
ניתן לנהל מטבעות נוספים בעזרת חיבור לאפליקציות צד שלישי כמו Exodus או MetaMask.
ניתן לרכוש, למכור ולהחליף ישירות דרך אפליקציית Trezor Suite
החיבור למחשב מתבצע בעזרת כבל USB
ארנק טרזור One מוצע במחיר של $67 (230 ש"ח) כולל משלוח
לרכישת ארנק טרזור One מהאתר הרשמי
Trezor Model T
הארנק הושק לראשונה בפברואר 2018 ומגיע עם מסך מגע צבעוני וגדול יותר המאפשר ניווט קל יותר.
טרזור Model T מאפשר איחסון של 14 מטבעות מקוריים וכל הטוקנים מסוג ERC-20. לרשימה המלאה
ניתן לנהל מטבעות נוספים בעזרת חיבור לאפליקציות צד שלישי כמו Exodus או MetaMask.
ניתן לרכוש, למכור ולהחליף ישירות דרך אפליקציית Trezor Suite
החיבור למחשב מתבצע בעזרת כבל USB
ארנק טרזור T מוצע במחיר של $213 (730 ש"ח) כולל משלוח
לרכישת ארנק טרזור T מהאתר הרשמי
דליפת מידע
בדומה לחברת לדג'ר, גם טרזור חוות דליפת מידע הלקוחות שלה כשב-2 באפריל דלפו 106,856 כתובות אימייל של לקוחותיה.
מתקפת הפישינג החלה בכך שבעלי ארנק החומרה של Trezor קיבלו מיילים מזויפים של אירועי אבטחה, הטוענים כי מדובר בהתראה על הפרת נתונים.
הודעות האימייל המזויפות הללו של הפרת מידע טענו שהחברה לא יודעת את היקף הפריצה וכי הבעלים צריכים להוריד את ה-Trezor Suite העדכנית ביותר כדי להגדיר PIN חדש בארנק החומרה שלהם.
המייל כלל כפתור 'הורד את הגרסה האחרונה' שמביא את הנמען לאתר פישינג המופיע בדפדפן בשם suite.trezor.com.
עם זאת, האתר הוא שם דומיין המשתמש בתווי Punycode המאפשר לתוקפים להתחזות לדומיין trezor.com באמצעות תווים מוטעמים או קיריליים, כאשר שם הדומיין בפועל הוא suite.xn--trzor-o51b[.]com.
מכיוון ש-Trezor Suite היא קוד פתוח, התוקפים הורידו את קוד המקור ויצרו אפליקציה שונה משלהם שנראית זהה לאפליקציה המקורית והלגיטימית.
למרבה האירוניה, התוכנה מזויפת כללה את באנר האזהרה של Trezor לגבי התקפות פישינג בחלק העליון של מסך האפליקציה.
ברגע שמשתמשי Trezor חיברו את המכשיר שלהם לאפליקציית Trezor Suite המזויפת, הוא הנחה אותם להזין את ביטוי השחזור שלהם בן 12 עד 24 מילים, שנשלח בחזרה לגורמי האיום.
בעזרת מילות הגיבוי התוקפים יכלו להשתמש בהם כדי לייבא אותם לארנקים שלהם ולגנוב את נכסי המטבעות הקריפטו של הקורבנות.
פריצה לארנק טרזור One
בתחילת שנת 2022 מהנדס מחשבים והאקר חומרה חשף בחשבון היוטיוב שלו כיצד הצליח לפצח ארנק חומרה של Trezor One המכיל יותר מ-2 מיליון דולר.
לאחר שהחליטו לפדות השקעה מקורית של כ-50,000 דולר ב-Theta בשנת 2018, דן רייך, יזם בניו יורק, וחברו הבינו שאיבדו את קוד האבטחה ל-Trezor One שעליו אוחסנו האסימונים. לאחר שניסו ללא הצלחה לנחש את PIN האבטחה 12 פעמים, הם החליטו להפסיק לפני שהארנק ימחק את עצמו אוטומטית לאחר 16 ניחושים שגויים.
הם פנו לג'ו גרנד שבילה 12 שבועות של ניסוי וטעיה אבל בסופו של דבר מצא דרך לשחזר את ה-PIN שאבד.
המפתח לפריצה זו היה שבמהלך עדכון קושחה, ארנקי Trezor One מעבירים זמנית את ה-PIN והמפתח ל-RAM, רק כדי להחזיר אותם מאוחר יותר לכונן לאחר התקנת הקושחה. גרנד גילה שבגרסת הקושחה המותקנת על הארנק של רייך, המידע הזה לא הועבר אלא הועתק ל-RAM, מה שאומר שאם הפריצה נכשלת וה-RAM יימחק, המידע על ה-PIN והמפתח עדיין יישמרו ב-Flash.
לאחר שימוש בהתקפת הזרקת תקלות – טכניקה שמשנה את המתח העובר לשבב – גרנד הצליח להתעלות על האבטחה שיש למיקרו-בקרים כדי למנוע מהאקרים לקרוא זיכרון RAM, והשיג את ה-PIN הדרוש כדי לגשת לארנק ולכספים.
לפי ציוץ שפורסם מ-Trezor, הפירצה הזו, שמאפשרת לקרוא את ה-Pin Code מה-RAM של הארנק, היא ישנה יותר שכבר תוקנה עבור מכשירים חדשים יותר. אבל אם לא יבוצעו שינויים במיקרו-בקר, התקפות הזרקת תקלות עדיין יכולות להוות סיכון.
חשוב לזכור: מכיוון שהמפתחות הפרטיים של Trezor נשמרים במצב לא מקוון, אין שום דרך עבור האקר לגשת למכשיר מרחוק.
יתרונות וחסרונות
טרזור Model One
יתרונות
- מחיר זול
- בעל קוד פתוח
- נוח וידידותי לשימוש
- רמת אבטחה גבוהה מאוד
- תומך במגוון רחב של מטבעות
חסרונות
- מסך תצוגה קטן
- נפרץ על ידי האקר
- אין תמיכה בגרסת הנייד ל-IOS
טרזור Model T
יתרונות
- בעל קוד פתוח
- נוח וידידותי לשימוש
- מסך תצוגה גדול וצבעוני
- רמת אבטחה גבוהה מאוד
- תומך במגוון רחב של מטבעות
חסרונות
- איכות חומרים ירודה
- אין תמיכה בגרסת הנייד ל-IOS
סיכום
ארנקי טרזור נחשבים כיום לאחד מארנקי החומרה הטובים והמאובטחים ביותר בעולם. עם קוד פתוח שמתעדכן על בסיס קבוע, ארנקי טרזור לא חוו פירצות אבטחה מרחוק ללא טעות אנוש (נפילה למייל פישיניג, מסירה של ה-Pin Code) וזה מעיד הרבה על האבטחה והמסירות שלהם לתחום.
