Ledger помогает Trezor устранить уязвимость безопасности

Acryptoinvest.news: Поставщик аппаратного кошелька Ledger продемонстрировал компании Trezor, что она способна обойти проверку безопасности в моделях Trezor Safe 3 и 5, что побудило Trezor устранить уязвимость.

Поставщик аппаратных кошельков Trezor устранил уязвимость безопасности в двух своих последних моделях после того, как исследовательское подразделение открытого исходного кода конкурирующей фирмы Ledger обнаружило уязвимость в своих микроконтроллерах.

Ledger Donjon признал, что Trezor в последнее время добился ряда усовершенствований в области безопасности, но обнаружил, что криптографические операции по-прежнему можно выполнять на микроконтроллере моделей Trezor Safe 3 и 5, что может сделать их «уязвимыми для более сложных атак».

К счастью, Trezor уже устранил обнаруженные уязвимости, сообщил технический директор Ledger, Шарль Гийеме, в своем сообщении от 12 марта.

«Мы считаем, что повышение безопасности экосистемы пойдет на пользу всем и имеет решающее значение, поскольку мы стремимся к более широкому внедрению криптовалют и цифровых активов», — добавил Гийеме.

Trezor уже внедрил «элементы безопасности» — чипы, предназначенные для защиты PIN-кода и криптографических секретов пользователя , — поскольку некоторые устройства Trezor можно было взломать, изменив работающее на них программное обеспечение, что потенциально позволяло злоумышленникам украсть средства пользователей.

Функция Secure Elements «эффективно препятствует любым недорогим аппаратным атакам, в частности, сбоям напряжения», — говорится в сообщении Ledger от 12 марта.

«Это дает пользователям уверенность в том, что их средства в безопасности, даже если их устройство потеряется или будет украдено».

Однако Ledger обнаружил еще один потенциальный вектор атаки, исходящий от микроконтроллера — другой основной части двухчиповой конструкции Trezor для моделей Safe 3 и 5.

Trezor реализовал проверку целостности прошивки для обнаружения измененного программного обеспечения, но Ledger смог продемонстрировать, что злоумышленник все равно может обойти эту проверку безопасности.

С тех пор эта проблема была решена Trezor — хотя ни Ledger, ни Trezor не объяснили, как именно.

Trezor подтвердил на X, что средства пользователей остаются в безопасности и никаких действий не требуется.

Однако на вопрос, удалось ли Trezor исправить эту проблему с помощью прошивки, поставщик аппаратного кошелька ответил: «К сожалению, нет».

«В кибербезопасности золотое правило простое: нет ничего полностью неуязвимого. Вот почему мы уже внедрили многоуровневую защиту от атак на цепочки поставок и всегда советуем нашим пользователям покупать у официальных источников».

В декабре 2023 года хакер взломал библиотеку коннекторов Ledger и похитил криптоактивы на сумму 484 000 долларов США.

Другой злоумышленник, взломавший системы Ledger, опубликовал почтовые адреса около 270 000 клиентов Ledger в июне 2020 года.

Источник