Исследовательская группа Ledger обнаружила проблему в микроконтроллере аппаратных кошельков Trezor, который выполнял криптографические операции. По словам CFO Ledger Шарля Гийоме, этот компонент делал устройства «уязвимыми для сложных атак».
Trezor уже применила Secure Elements — микросхемы, обеспечивающие защиту PIN-кода и криптографических данных. В Ledger отметили, что эта технология эффективно предотвращает аппаратные атаки, включая манипуляции с напряжением.
«[Эта функция] гарантирует безопасность средств пользователей, даже если их устройство потеряно или украдено», — заявили исследователи Ledger.
Однако они обнаружили ещё один потенциальный вектор атаки, связанный с микроконтроллером в двухчиповой архитектуре Safe 3 и Safe 5. Инженеры Ledger смогли обойти встроенную проверку целостности прошивки, но впоследствии Trezor устранила уязвимость. Представители компании заверили, что активы пользователей не подвергались риску и никаких действий от клиентов не требуется.
При этом, отвечая на вопрос о возможности исправления проблемы через обновление прошивки, в Trezor заявили, что такой вариант невозможен.
«В сфере кибербезопасности есть непреложное правило: полная неуязвимость недостижима», — отметили в компании.
Trezor подчеркнула, что внедрила многоуровневую защиту от атак на цепочку поставок и настоятельно рекомендует приобретать устройства только у официальных дистрибьюторов.
Ранее, в январе 2024 года, компания сообщала о компрометации данных 66 000 клиентов из-за утечки у стороннего провайдера поддержки. В декабре того же года злоумышленники, выдавая себя за службу поддержки Ledger, рассылали пользователям поддельные уведомления о взломе, пытаясь получить их сид-фразы.