“Останні апаратні гаманці Trezor оснащені безпечними елементами, але все ще вразливі до атак, спрямованих на їх мікроконтролери, стверджує Ledger. У світі, що постійно зміщується, навіть найсучасніші апаратні гаманці не застраховані від нових загроз. Тепер експерти з кібербезпеки в Ledger Donjon, дослідницька група фізичної криптовалюти, викликають занепокоєння щодо”, – Напишіть: www.crypto.news
Останні апаратні гаманці Trezor оснащені безпечними елементами, але все ще вразливі до атак, спрямованих на їх мікроконтролери, стверджує Ledger.
У світі, що постійно зміщується, навіть найсучасніші апаратні гаманці не застраховані від нових загроз.
Тепер експерти з кібербезпеки в Ledger Donjon, дослідницька група фізичної криптовалютної гаманці, викликають занепокоєння щодо свого суперника Трезор. Незважаючи на свою репутацію безпечного дизайну, безпечні моделі Trezor виглядають вразливими до фізичних атак. Хоча пристрої мають налаштування подвійних мікросхеми та сертифіковані безпечні елементи, дослідники Ledger стверджують, що ці моделі не повністю захищені від рішучих хакерів.
У дописі в блозі 12 березня Ледгер зазначає, що нові безпечні пристрої Trezor були розроблені з кращими функціями безпеки, включаючи налаштування двох мікросхеми з сертифікованим захищеним елементом (Optiga Trust M) для зберігання штифтів та криптографічних таємниць. Тим не менш, Леджер каже, що критичні криптографічні операції “все ще проводяться на мікроконтролері”, що робить напади в більш “можливих моделях загрози”.
«Використовуваний мікроконтролер позначається TRZ32F429 – це фактично чіп STM32F429, упакований у BGA з власними маркуванням. Незважаючи на специфічний для Trezor пакет, він дійсно електрично такий же, як і STM32F429, і, як відомо, сім’я цього чіпа вразлива до пробігання напруги, що дозволяє прочитати та записати доступ до його вмісту Flash. “
Книга
Незважаючи на те, що пристрої включають механізми запобігання фальсифікації, Леджер вважає, що ці захисні сили не є надійними, заявляючи, що це лише “питання часу та інженерних зусиль, щоб зняти напад на практиці”. Найголовніше, що дослідники стверджують, що атаку може бути виконано “суто в програмному забезпеченні”, що робить його “дуже важким, якщо не неможливим”, виявити або криптографічно, або за допомогою візуального огляду.
Незважаючи на ці ризики, безпечні пристрої Trezor вважаються кроком вперед у безпеці криптовалют, Леджер зізнається, хоча підкреслює, що для вирішення потенційних слабких місць у ланцюзі поставок необхідно подальше пильність.
Після публікації дослідження, акаунт X Trezor запевнив користувачів, що їхні кошти “залишаються в безпеці”, зазначивши, що Леджер Донджон повторно використав “раніше відомий напад, щоб обійти деякі наші контрзаходи проти нападів ланцюгів поставок у Trezor Safe 3.”