GBATempで、ShinyQuagsire氏がNintendo Wii UのMODチップde_Fuseを開発していることを伝えていました。
Nintendo Wii Uは発売が2012年ですので既に発売から10年を超えています。もはや処分してしまった方も多いかと思いますので(Wii U GamePadがデカくて邪魔じゃないですか?)、大きな動きがあったとしても今更感は拭えません。WIi UではAromaなどソフトウェアハックは確立していますが、バックの過程を楽しみたいと言う方にはde_Fuseのようなハードウェアハックは興味深いのではないでしょうか。
それはそれとして、de_Fuseがどんなものなのかの概要を紹介します。ハードウェア改造を伴う物ですので知識がないと試すことは難しいと思います。
Oh yeah I pushed the Verilog I used to dump the boot1 key w/ de_Fuse to Github. de_Fuse is so consistent that all I had to do to get the 16 partial-key decrypts was press my pushbutton 32 times (and move my NAND-disarm jumper to GND when I ACE'd)https://t.co/j4siXufbPQ
— Shiny Quagsire (@ShinyQuagsire) April 8, 2023
de_Fuseを使用してboot1キーをダンプするために使用したVerilogをGitHubにアップしました。 de_Fuse は非常に安定しているため、16個の部分的なキーの復号化を行うにはボタンを32 回押すだけです。(ACEを実行したときにNANDディスアーム用ジャンパーをGNDに移動させる必要があります)。
Verilogは回路情報をテキストで記述するハードウェア記述言語です。回路を自作するために使います。
ShinyQuagsire氏は当初ハックされていなかったWii miniを調査している際、同様の方法がWii Uでも使えそうなことに気がつきました。それがMODチップde_Fuse開発につながったそうです。
ただしde_Fuseには欠点があります。
Wii boot1 SHA-1 hashやWii common keyなどが含まれているOne Time Programmable(OPT)メモリをダンプすると中身がすべて0になってしまいます。
One Time Programmable(OPT)メモリは工場出荷時に書き込まれ、変更ができないものです。正常にダンプできないとキーは取り出せません。
また同時にboot0ドライバーによりUSBではなくSDHCカード専用になってしまうようです。
OTPのダンプはできませんが、de_Fuseを基板にはんだ付けすることでWii Uを内蔵のeMMCメモリではなくSDカードから起動することができるようになります。eMMCは触らないのでコンソールがbrickすることもありません。de_Fuseインストールに失敗するとそれはそれで痛い話にはなります。
de_Fuseの詳細について興味のある方でVerilogを活用できる知識をお持ちの方はGitHubリポジトリを覗いてみてください。