크라켄 시큐리티 랩(Kraken Security Labs)은 트레저(Trezor) 하드웨어 지갑과 그 파생상품들을 해킹하여 개인 키를 추출해낼 수 있다고 지난 1월 31일 밝혔다. 그 절차는 상당히 복잡하지만, "해당 장치를 단 15분간만 물리적으로 액세스하면 된다"는 것이 크라켄 측의 주장이다.
이 공격을 위해서는 지갑 내 칩을 추출하여 특수 장치에 올려놓거나 중요한 커넥터 몇 개를 납땜함으로써 트레저 지갑에 물리적으로 개입해야 한다.
그 다음에는 트레저 칩을 "글리처(glitcher) 장치"에 연결시켜 특정한 순간에 신호를 보낸다. 그러면 칩의 메모리를 외부 장치로 판독하지 못하도록 막아주는 내장 보호장치가 해제된다.
이러한 트릭을 통해 공격자는 개인 키 시드를 포함한 지갑의 중요 매개변수들을 읽어낼 수 있다.
시드는 PIN 생성 키로 암호화 되어 있지만, 크라켄의 연구진들은 해당 키 조합을 단 2분만에 강제로 알아낼 수 있었다.
이러한 취약성은 트레저 지갑에 사용되는 특정 하드웨어로 인한 것이므로, 회사 측에서는 이 문제를 손쉽게 바로잡을 수 없다. 지갑을 처음부터 완전히 다시 설계하고 기존의 모든 모델들은 리콜해야 한다는 것이다.
따라서 크라켄 측은 트레저 및 킵키(KeepKey) 지갑의 사용자들이 다른 누구도 지갑에 물리적으로 접근하지 못하도록 할 것을 강력히 권고했다.