Постачальник апаратного гаманця Trezor зафіксував недолік безпеки у двох останніх моделях після того, як дослідницька група з відкритим кодом фірми-конкурента Ledger виявила вразливість у своїх мікроконтролах.
Леджер Донджон визнав, що Трезор здійснив кілька прогресів безпеки пізно, але виявив, що криптографічні операції все ще можуть бути виконані на мікроконтролері безпечних 3 та 5 моделей Trezor, що може зробити їх “вразливими до більш просунутих атак”.
На щастя, Трезор з тих пір звернувся до знайдених вразливих місць, заявив головний директор Леджера Чарльз Гільємет у штату 12 березня.
“Ми вважаємо, що зробити екосистему більш безпечною допомагає всім і є критичним, коли ми підштовхуємо до більш широкого прийняття криптовалют та цифрових активів”, – додав Гільємет.
Trezor вже реалізував “безпечні елементи” – чіпи, розроблені для захисту PIN -коду користувача та криптографічних таємниць – оскільки деякі пристрої Trezor можуть бути підроблені, змінивши на ньому програмне забезпечення, що може дозволити суб’єктам загрози викрадати кошти користувачів.
У безпечних елементах є “фактично перешкоджає будь -якій недорозі апаратну атаку, зокрема, пробіг напруги”, – заявив Леджер у штату 12 березня.
“[Це] надає користувачам впевненість, що їхні кошти є безпечними, навіть якщо їх пристрій стає неправильним або викраденим”.
Однак Леджер виявив ще один потенційний вектор атаки, що випливає з мікроконтролера, іншої основної частини конструкції двох мікросхем Trezor для його безпечних 3 та 5 моделей.
Trezor реалізував перевірку цілісності прошивки для виявлення модифікованого програмного забезпечення, але Леджер змогла продемонструвати, що зловмисник все ще може обійти цю перевірку безпеки.
З тих пір це питання вирішило Трезор – хоча ні Леджер, ні Трезор не пояснили, як. Cointelegraph звернувся до Trezor, але не отримав негайної відповіді.
Трезор підтвердив X, що кошти користувачів залишаються в безпеці і що жодних дій не потрібно.
Пов’язано: Метод “Темний Скіппі” може вкрасти клавіші апаратних гаманців Bitcoin
Однак, на запитання, чи зможе Трезор виправити цю проблему за допомогою прошивки, постачальник апаратних гаманців відповів: “На жаль, ні”.
«У кібербезпеці золоте правило просте: нічого не є повністю нерозривним. Ось чому ми вже реалізували багатошарову захист від атак ланцюга поставок і завжди радимо нашим користувачам купувати з офіційних джерел ».
Леджер також не застрахований від вразливості безпеки.
У грудні 2023 року хакер вчинив порушення безпеки в роз’ємний під’їзд Леджера та вкрав активів криптовалют на суму 484 000 доларів.
Ще один актор загрози, який порушив системи Леджера, опублікував поштові адреси близько 270 000 клієнтів книги в червні 2020 року.
