Ledger는 Trezor Safe 3 및 Safe 5 모델에서 보안 결함을 발견했습니다

레저(Ledger)가 3월 12일에 발표한 보고서에 따르면, 트레저(Trezor)의 최신 하드웨어 지갑인 세이프 3(Safe 3)과 세이프 5(Safe 5)에 심각한 보안 문제가 있는 것으로 나타났습니다.

보고서에 따르면 보안 연구팀인 레저 돈존(Ledger Donjon)은 이 기기들의 마이크로컨트롤러에 수많은 취약점이 있어 해커가 사용자 자금에 원격으로 접근할 수 있다는 사실을 발견했다고 합니다.

트레저가 EAL6+ 인증 보안 요소를 포함하는 2칩 설계로 업그레이드했음에도 불구하고 이러한 결함이 발견되었습니다. 보안 요소는 PIN과 개인 키를 보호하지만, 레저의 보고서에 따르면 모든 암호화 작업은 여전히 ​​전압 글리칭 공격에 취약한 마이크로컨트롤러에서 수행됩니다.

취약점이 악용될 경우, 공격자는 암호화 비밀 정보를trac, 펌웨어를 수정하고, 보안 검사를 우회하여 사용자 자금을 위험에 빠뜨릴 수 있습니다.

Trezor의 새로운 보안 설계는 핵심 운영을 보호하는 데 실패합니다

Trezor는 2023년 말에 Safe 3를 출시했고, 이어서 2024년 중반에 Safe 5를 출시했습니다. 두 지갑 모두 이전 Trezor 모델에 사용된 단일 칩 아키텍처에서 벗어나기 위한 노력의 일환으로 업그레이드된 2칩 설계를 도입했습니다.

이번 업그레이드에는 인피니언의 옵티가 트러스트 M 시큐어 엘리먼트가 추가되었는데, 이는 PIN과 암호화 비밀을 저장하는 전용 보안 칩입니다.

따르면 , 이 보안 요소는 올바른 PIN을 입력하지 않으면 민감한 데이터에 접근할 수 없도록 합니다. 또한, 이전에tracTrezor One 및 Trezor T와 같은 모델에서 시드 구문을

하지만 이러한 개선에도 불구하고 Ledger Donjon의 연구에 따르면 거래 서명을 포함한 주요 암호화 기능은 여전히 ​​마이크로컨트롤러에서 이루어지며, 이는 여전히 심각한 보안 취약점으로 남아 있습니다.

Safe 3 및 Safe 5에 사용된 마이크로컨트롤러는 TRZ32F429로 표기되어 있는데, 이는 실제로 맞춤형으로 패키징된 STM32F429 칩입니다.

이 칩에는 알려진 취약점이 있는데, 특히 전압 글리칭 공격을 통해 공격자가 플래시 메모리에 대한 완전한 읽기/쓰기 권한을 획득할 수 있습니다.

공격자가 펌웨어를 수정하면 암호화 보안에 핵심적인 역할을 하는 엔트로피 생성을 조작할 수 있습니다. 이는 원격으로 개인 키를 탈취하여 해커가 사용자 자금에 완전히 접근할 수 있도록 만들 수 있습니다.

인증 시스템이 마이크로컨트롤러의 무결성을 검증하는 데 실패했습니다

Trezor는 암호화 인증을 사용하여 장치를 검증하지만 Ledger Donjon은 이 시스템이 마이크로컨트롤러의 펌웨어를 검사하지 않는다는 사실을 발견했습니다.

Optiga Trust M 보안 요소는 생성 과정에서 공개-개인 키 쌍을 생성하고, Trezor는 해당 공개 키에 서명하여 인증서에 포함시킵니다. 사용자가 지갑을 연결하면 Trezor Suite는 기기가 개인 키를 사용하여 서명해야 하는 임의의 챌린지를 전송합니다. 서명이 유효하면 기기는 인증된 것으로 간주됩니다.

하지만 레저의 연구에 따르면 이 과정은 보안 요소만 검증할 뿐 마이크로컨트롤러나 펌웨어는 검증하지 않습니다.

Trezor는 제조 과정에서 두 칩 모두에 프로그래밍된 사전 공유 비밀 키를 사용하여 보안 요소와 마이크로컨트롤러를 연결하려고 시도했습니다. 보안 요소는 마이크로컨트롤러가 이 비밀 키를 알고 있음을 증명하는 경우에만 서명 요청에 응답합니다.

문제는 무엇일까요? 이 사전 공유 비밀 키는 마이크로컨트롤러의 플래시 메모리에 저장되는데, 이 메모리는 전압 글리칭 공격에 취약하다는 점입니다.

레저 팀은 비밀 키를trac하고 칩을 재프로그래밍하여 인증 프로세스를 완전히 우회할 수 있었습니다. 즉, 공격자는 트레저의 보안 검사를 통과하면서도 펌웨어를 수정할 수 있다는 뜻입니다.

레저의 보고서에는 그들이 TRZ32F429의 패드를 표준 헤더로 연결할 수 있도록 맞춤형 공격 보드를 제작한 방법이 설명되어 있습니다.

이러한 설정을 통해 공격자는 마이크로컨트롤러를 공격 시스템에 장착하고, 사전 공유 비밀 키를trac다음, 감지되지 않고 장치를 재프로그래밍할 수 있습니다.

재프로그래밍 후에도 암호화 인증 시스템은 변경되지 않으므로 해당 장치는 Trezor Suite에 연결될 때 여전히 정상적인 것으로 표시됩니다.

이는 위험한 상황을 초래하는데, 해킹당한 Trezor Safe 3 및 Safe 5 지갑이 정품으로 판매되면서 사용자 자금을 훔치는 악성 펌웨어를 몰래 실행할 수 있기 때문입니다.

펌웨어 검증이 우회되어 사용자가 위험에 노출됩니다

Trezor Suite에는 펌웨어 무결성 검사 기능이 포함되어 있지만, Ledger Donjon은 이 보호 기능을 완전히 우회하는 방법을 찾아냈습니다.

펌웨어 검사는 장치에 임의의 챌린지를 전송하는 방식으로 작동하며, 장치는 이 챌린지와 자체 펌웨어를 사용하여 암호화 해시를 계산합니다. Trezor Suite는 이 해시를 정품 펌웨어 버전 데이터베이스와 비교하여 검증합니다.

언뜻 보면 이 방법은 꽤 효과적인 것처럼 보입니다. 공격자는 난수 생성 과정을 미리 알 수 없기 때문에 가짜 해시 값을 하드코딩할 수 없으므로, 기기는 실시간으로 해시 값을 계산해야 하며, 이는 기기가 정품 펌웨어를 실행하고 있음을 증명합니다.

하지만 Ledger Donjon은 이러한 보호 조치를 완전히 우회하는 방법을 발견했습니다. 마이크로컨트롤러가 이 계산을 처리하기 때문에 공격자는 펌웨어를 수정하여 유효한 응답을 위조할 수 있습니다.

공격자는 기기의 해시 계산 방식을 조작하여 어떤 펌웨어 버전이라도 정품처럼 보이게 할 수 있습니다. 이는 공격자가 Trezor Suite의 검증을 통과하면서도 변조된 소프트웨어를 실행할 수 있게 해주기 때문에 심각한 문제입니다.

결과적으로, 해킹당한 Trezor Safe 3 또는 Safe 5는 개인 키를 몰래 유출하거나 거래 데이터를 변경하면서도 겉으로는 합법적인 것처럼 보일 수 있습니다.

레저의 보고서는 Safe 3 및 Safe 5를 완전히 안전하게 만드는 유일한 방법은 마이크로컨트롤러를 더욱 안전한 대안으로 교체하는 것이라고 결론지었습니다. Trezor Safe 5에는 공개적으로 알려진 결함 주입 공격이 없는(적어도 현재까지는) 최신 마이크로컨트롤러인 STM32U5가 포함되어 있습니다.

하지만 이는 전용 보안 요소가 아닌 일반 마이크로컨트롤러이기 때문에 새로운 공격 방법이 발견될 위험이 여전히 존재합니다.

트레저는 이미 취약점을 패치했지만, 근본적인 보안 문제는 여전히 남아 있습니다. 마이크로컨트롤러 자체의 보안이 완전히 확보될 때까지 사용자는 트레저의 소프트웨어 보호 기능을 신뢰해야 하는데, 레저 돈존의 연구 결과에 따르면 이 소프트웨어조차 우회될 수 있는 것으로 나타났습니다.