Аппаратная книга кошелька помогает конкуренту Trezor разрешить уязвимость безопасности

Поставщик аппаратного кошелька Trezor исправил недостаток безопасности в двух своих последних моделях после того, как исследовательская рука с открытым исходным кодом конкурентной фирмы Ledger обнаружила уязвимость в своих микроконтроллерах.

Леджер Донджон признал, что в последнее время Трезор сделал несколько достижений безопасности, но обнаружил, что криптографические операции все еще могут быть выполнены на микроконтроллере моделей Trezor Safe 3 и 5, что может сделать их «уязвимыми для более продвинутых атак».

К счастью, с тех пор Трезор обратился к найденным уязвимостям, сказал главный технологический директор Ledger Чарльз Гиллемет в сообщении 12 марта.

«Мы считаем, что сделать экосистему более безопасной помогает всем, и является критическим, поскольку мы стремимся к более широкому внедрению криптовалюты и цифровых активов», – добавил Гиллемет.

Trezor уже реализовал «безопасные элементы» – чипы, предназначенные для защиты PIN -кода пользователя и криптографических секретов – поскольку некоторые из устройств Trezor могут быть поддержаны путем изменения программного обеспечения, используемого на нем, что может позволить актерам угроз красть пользовательские средства.

Безопасные элементы оснащены «эффективно помешаны любой недорогим аппаратным атакам, в частности, сбои напряжения», – сказал Леджер в посте 12 марта.

«[Это] дает пользователям уверенность в том, что их средства безопасны, даже если их устройство становится неуместным или украденным».

Тем не менее, Леджер обнаружил, что еще один потенциальный вектор атаки был связан с микроконтроллером, другой основной частью двухшипной конструкции Trezor для его безопасных моделей 3 и 5.

Trezor внедрил проверку целостности прошивки для обнаружения модифицированного программного обеспечения, но Ledger смогла продемонстрировать, что злоумышленник все еще может обойти эту проверку безопасности.

Эта проблема с тех пор была решена Трезором – хотя ни Леджер, ни Трезор не объяснили, как. Cointelegraph обратился к Trezor, но не получил немедленного ответа.

Трезор подтвердил, что пользовательские средства остаются безопасными и что никаких действий не требуется.

Связанный: «Dark Skippy» может украсть ключи для оборудования для Биткоин.

Однако, когда его спросили, смог ли Трезор исправить эту проблему через прошивку, поставщик аппаратного кошелька ответил: «К сожалению, нет».

«В кибербезопасности золотое правило простое: ничто не является полностью нерушимым. Вот почему мы уже внедрили многослойную защиту от атак цепочки поставок и всегда рекомендуем нашим пользователям покупать из официальных источников ».

Ledger также не застрахован от уязвимостей безопасности.

В декабре 2023 года хакер совершил нарушение безопасности в Connector Library Connector и украл криптовалютные активы на сумму 484 000 долларов.

Другой актер угроз, который нарушил системы Ledger, опубликовал почтовый адрес около 270 000 клиентов Ledger в июне 2020 года.