Ledger знайшов вразливість у гаманцях Trezor

Виробник апаратних криптогаманців Trezor усунув уразливість у моделях Safe 3 і Safe 5. Проблему виявила дослідницька команда конкурента — Ledger, повідомив CFO компанії Шарль Гійоме.

Йшлося про мікроконтролер гаманців, який давав змогу проводити криптографічні операції. Це могло зробити Safe 3 і Safe 5 «вразливими для більш складних атак», зазначив Гійоме.

Trezor вже впровадила мікросхеми Secure Elements, призначені для захисту PIN-коду користувача і криптографічних даних. У Ledger зазначили, що функція «ефективно запобігає будь-яким недорогим апаратним атакам, зокрема збоям напруги».

«[Це] дає користувачам упевненість у тому, що їхні кошти в безпеці, навіть якщо їхній пристрій буде загублений або вкрадений», — підкреслила дослідницька команда.

Однак Ledger виявив ще один потенційний вектор атаки, пов’язаний з мікроконтролером іншої основної частини двочіпової конструкції для моделей Safe 3 і 5.

Хоча в Trezor передбачена перевірка цілісності прошивки, інженерам Ledger вдалося обійти цей захист. Пізніше виробник усунув уразливість.

Представники компанії запевнили, що кошти користувачів залишалися в безпеці, і жодних дій від клієнтів не потрібно.

Однак на запитання, чи вдалося Trezor виправити проблему за допомогою прошивки, постачальник апаратного гаманця відповів негативно.

«У сфері кібербезпеки діє просте золоте правило: ніщо не може бути повністю невразливим», — прокоментували в компанії.

Команда Trezor повідомила про впровадження багаторівневого захисту від атак на ланцюжок постачань і порадила користувачам купувати пристрої тільки в офіційних дистриб’юторів.

Нагадаємо, у січні 2024 року розробники компанії повідомили про інцидент із безпекою у стороннього провайдера служби підтримки, який призвів до витоку даних приблизно 66 000 клієнтів.

У грудні 2024 року зловмисники від імені служби підтримки Ledger розіслали фейкове повідомлення про злом сервісу, змушуючи користувачів розкрити сід-фрази.