12 дней назад

Две модели кошельков Trezor содержат эксплойты

Французская компания-производитель холодных кошельков Ledger, позиционирующая себя лидером в решениях безопасности устройств на блокчейне, опубликовала на своем веб-сайте сообщение о найденных уязвимостях в холодных кошельквх Trezor.

Как сообщается, уязвимости найдены подразделением компании — лабораторией с рабочим названием Donjon, которая занимается поиском слабых мест в защите своих устройств и конкурирующих продуктов.

Как упоминалось ранее, BreakerMag посетил нашу лабораторию HQ и объяснил уязвимости, которые мы ответственно раскрыли конкуренту.

В свою очередь, студия-блокчейн BreakerMag опубликовала статью о своем посещении Donjon и найденных компанией уязвимостях кошельков Trezor.

ЭКСКЛЮЗИВ: у Ledger есть команда, которая взламывает свои собственные продукты и продукты конкурентов. Мы взглянули на их сверхсекретную лабораторию, в которой команда выявила 3 проблемы в популярном аппаратном кошельке Trezor.

Вот эти проблемы:

  • Можно имитировать оригинальные кошельки Trezor, предварительно взломав их и вставив бэкдор. Также легко подделать наклейку, которая, как считается, гарантирует подлинность кошелька. Как считает Ledger, данная уязвимость устранима только через изменение архитектуры кошельков Trezor.
  • Лаборатории удалось получить PIN-код кошелька через побочный канал. На данный момент эта уязвимость уже закрыта.
  • Ledger обнаружил возможность кражи данных из флеш-памяти при физическом доступе к двум моделям кошельков — Trezor Т и Trezor One. Таким способом хакер получает доступ к криптовалютным активам, сохраненным в кошельке.

Исследователи также обнаружили, что Trezor One не имеет необходимой защиты против аппаратных атак. Злоумышленник, получивший физический доступ к устройству способен извлечь закрытый ключ.

Напомним, ранее три эксперта из Wallet.fail протестировали популярные аппаратные кошельков Trezor и Ledger и обнаружили многочисленные эксплойты.

Читайте также:

Trezor Wallet презентовал новый интерфейс для эфира и токенов ERC20

Trezor предупреждает о появлении в продаже поддельных устройств

Trezor объявил о возможности прямой конвертации криптовалют