3월 5일, 하드웨어 지갑 공급업체 Trezor는 자사의 이전 모델 암호화폐 지갑에서 잠재적인 취약점을 공개했습니다. 이는 주로 "이론적" 공격이지만, 제3자에게서 구매한 사용자에게 영향을 줄 수 있습니다.

이 취약점은 Trezor의 경쟁업체 Ledger가 문제를 공개한 후 발견되었습니다. 3월 6일, Ledger는 이 공격 방식에 대한 자세한 내용을 제공했습니다. Ledger의 Donjon 보안팀은 물리적 공급망 공격 기술을 재사용하여 Trezor Safe 3 - 2023년 출시된 지갑 모델 - 의 보안을 테스트했고, 이 장치에 여전히 보안 위험이 존재한다는 것을 확인했습니다.

Trezor Safe 3의 마이크로컨트롤러를 겨냥한 공격

Trezor에 따르면, 이 공격은 "전압 글리치" 기술을 사용하여 사용자 작업 및 거래 서명을 처리하는 마이크로컨트롤러의 취약점을 악용합니다. 공격자가 물리적으로 장치에 접근할 수 있다면, 마이크로컨트롤러를 분리하고 전압을 정밀하게 변경하여 장치를 속일 수 있으며, 이를 통해 메모리 데이터를 추출할 수 있습니다. 이를 통해 악성 소프트웨어를 설치하고, 복구 구문(시드 구문)을 노출시켜 지갑 내 자산을 훼손할 수 있습니다.

그러나 Trezor는 이 공격이 Trezor Safe 5, Trezor Model One 및 Model T를 포함한 대부분의 자사 제품에는 영향을 미치지 않는다고 밝혔습니다. 또한 이 공격을 수행하려면 높은 기술 수준과 특수한 환경이 필요하므로 일반적인 위협이 되지 않을 것이라고 합니다. 따라서 Trezor는 Safe 3 사용자에게 즉각적인 조치를 요구하지 않으며, 특히 공식 채널에서 구매한 경우에는 더욱 그렇습니다.

새로운 Trezor 모델의 보안 조치

위험을 줄이기 위해 Trezor는 지갑 백업의 보안을 강화하는 "passphrase" 기능을 도입했습니다. 또한 펌웨어 무결성 검사와 같은 고급 보안 계층을 구현했습니다. 특히 Trezor Safe 5는 전압 글리치 공격에 강한 STM32U5 마이크로컨트롤러를 사용하여 물리적 공격 위험을 줄였습니다.

Trezor Safe 3의 보안 취약점은 하드웨어 지갑도 물리적 위협에 취약할 수 있다는 것을 상기시켜 줍니다. 사용자들은 공식 채널에서만 장치를 구매하고 추가 보안 기능을 활성화하여 암호화폐 자산을 보호해야 합니다.