Ledger виявив вразливість у гаманцях Trezor
Дата: 2025-03-13 Автор: Oliver Abernathy Категорії: БІЗНЕС
Дослідницька група Ledger виявила проблему у мікроконтролері апаратних гаманців Trezor, який виконував криптографічні операції. За словами CFO Ledger Шарля Гійоме, цей компонент робив устрою «вразливими для складних атак».
Trezor вже застосувала Secure Elements – мікросхеми, що забезпечують захист PIN-коду та криптографічних даних. У Ledger зазначили, що ця технологія ефективно запобігає апаратним атакам, включаючи маніпуляції з напругою.
"[Ця функція] гарантує безпеку засобів користувачів, навіть якщо їх пристрій втрачено або вкрадено", - заявили дослідники Ledger.
Однак вони виявили ще один потенційний вектор атаки, пов'язаний з мікроконтролером у двочіповій архітектурі Safe 3 та Safe 5. Інженери Ledger змогли обійти вбудовану перевірку цілісності прошивки, але згодом Trezor усунула вразливість. Представники компанії запевнили, що активи користувачів не наражалися на ризик і ніяких дій від клієнтів не потрібно.
При цьому, відповідаючи на питання про можливість виправлення проблеми через оновлення прошивки, Trezor заявили, що такий варіант неможливий.
"У сфері кібербезпеки є непорушне правило: повна невразливість недосяжна", - зазначили в компанії.
Trezor підкреслила, що впровадила багаторівневий захист від атак на ланцюжок поставок і наполегливо рекомендує купувати пристрої лише у офіційних дистриб'юторів.
Раніше, у січні 2024 року, компанія повідомляла про компрометацію даних 66 000 клієнтів через витік у стороннього провайдера підтримки. У грудні того ж року зловмисники, видаючи себе за службу підтримки Ledger, розсилали користувачам підроблені повідомлення про зло, намагаючись отримати їх сид-фрази.
