Com a co-localização de hardware, as quebras de TEE são comuns, mas esta leva isso a um novo nível e permite gerar um relatório de atestação falso que verifica no mais alto nível de confiança da Intel usando chaves extraídas de hardware de produção com um setup de ~$1k. Aqui está uma análise e isso afeta também a inferência segura de LLM: O ataque funciona explorando a criptografia determinística no Intel TDX/SGX e AMD SEV-SNP. Quando o mesmo texto simples é criptografado duas vezes no mesmo endereço físico, produz o mesmo texto cifrado. Ao observar o tráfego de memória DDR5 através de um interposer físico, o atacante pode comparar valores criptografados e reconstruir segredos sem nunca descriptografar nada. O que torna isso particularmente devastador é que eles extraíram o PCK específico do dispositivo usado pelo PCE para certificar as chaves QE. Com esta chave, você pode forjar tanto atestações SGX quanto TDX. As citações forjadas verificam mesmo quando nenhum TDX está presente. As implicações práticas são severas. Eles demonstraram a extração das chaves da carteira Ethereum do BuilderNet e das chaves de descriptografia de fluxo de pedidos (milhões em MEV em jogo), a semente de consenso da Secret Network (descriptografa todas as transações confidenciais) e mostraram como "pegar emprestado" atestações de GPU da Nvidia para falsificar cargas de trabalho confidenciais de IA. O custo do setup do ataque é inferior a $1000 em componentes prontos para uso e cabe em uma maleta de 17". Nenhum equipamento de laboratório caro é necessário. A maleta nem precisa estar aberta durante o ataque e inclui um porta-copos para o seu café. Brincadeiras à parte, isso é genuinamente prático para infiltração em datacenters. Existem mitigação, mas são limitadas e caras. Tanto a Intel quanto a AMD consideram a interposição física fora do escopo de seus modelos de ameaça. A única defesa é a segurança física: câmeras, controles de acesso e confiar que seu provedor de nuvem não está comprometido. Para serviços que dependem da atestação TEE, você precisa entender profundamente onde seu hardware confiável realmente está.