Поставщик аппаратных кошельков Ledger продемонстрировал Trezor возможность обхода контроля безопасности в моделях Trezor Safe 3 и 5, что заставило Trezor устранить уязвимость.
Поставщик аппаратных кошельков Trezor устранил уязвимость безопасности в двух своих последних моделях после того, как исследовательское подразделение Ledger с открытым исходным кодом обнаружило недостаток в микроконтроллерах.
Леджер Донжон признал, что Trezor недавно внесла несколько улучшений в систему безопасности, но отметил, что криптографические операции все еще могут быть выполнены на микроконтроллере в моделях Trezor Safe 3 и 5, что делает их "уязвимыми для более сложных атак".
К сожалению, Trezor уже исправила обнаруженные уязвимости, сообщил технический директор Ledger Шарль Гиймет в сообщении от 12 марта.
.На сайте @Ledger, вы, возможно, знаете, что у нас есть @DonjonLedger, наша специальная команда, постоянно проводящая открытые исследования безопасности.
- Charles Guillemet (@P3b7_) March 12, 2025
Недавно мы работали с Trezor, обнаружив, что их Trezor Safe 3 подвержен атакам на физическую цепь поставок. Вот статья о наших выводах:🧵 pic.twitter.com/CORDOQWRYg
X
"Мы считаем, что повышение безопасности экосистемы выгодно для всех и необходимо для стимулирования более широкого принятия криптовалют и цифровых активов", - добавил Гийемет.
Trezor уже внедрил чипы "Secure Elements", предназначенные для защиты PIN-кода пользователя и криптографических секретов, поскольку некоторые устройства Trezor могут быть взломаны путем модификации программного обеспечения, на котором они работают, что потенциально позволяет злоумышленникам похищать средства пользователей.
Функция Secure Elements "эффективно предотвращает любые недорогие аппаратные атаки, в частности, сбои в электропитании", - говорится в сообщении Ledger от 12 марта.
"Это гарантирует пользователям безопасность их средств, даже если устройство будет потеряно или украдено". Однако компания Ledger обнаружила еще один потенциальный вектор атаки, исходящий от микроконтроллера - другого основного элемента двухчиповой конструкции моделей Safe 3 и 5 компании Trezor.
Trezor устраняет уязвимость целостности и проверки прошивки
Trezor реализовала проверку целостности прошивки для обнаружения поддельного ПО, но Леджер смог продемонстрировать, что злоумышленник все равно может обойти эту проверку безопасности.
С тех пор Trezor устранила проблему, хотя ни Ledger, ни Trezor не объяснили, каким образом.
Trezor подтвердила на сайте X, что средства пользователей остаются в безопасности и что никаких действий предпринимать не нужно.
.Привет, ваши средства остаются в безопасности, и вам не нужно предпринимать никаких действий. Леджер Донжон использовал ранее известную атаку, чтобы обойти некоторые из наших контрмер против атак на цепочки поставок в Trezor Safe 3. Тем не менее, пользователи, совершающие покупки из официальных источников, полностью защищены🔒
- Trezor (@Trezor) Март 12, 2025
X
Кроме того, на вопрос, удалось ли Trezor исправить проблему с помощью обновления прошивки, производитель аппаратного кошелька ответил: "К сожалению, нет.
"В области кибербезопасности золотое правило просто: ничто не может быть абсолютно неуязвимым. Именно поэтому мы уже внедрили многоуровневую защиту от атак на цепочки поставок и всегда советуем нашим пользователям покупать товары из официальных источников."
В декабре 2023 года хакер взломал библиотеку коннекторов Ledger и похитил криптовалюты на сумму 484 000 долларов.
Другой злоумышленник, взломавший системы Ledger, опубликовал адреса электронной почты примерно 270 000 клиентов Ledger в июне 2020 года.
Хотя Trezor исправила последние уязвимости в системе безопасности, выявленные Ledger, опасения по поводу потенциальных векторов атак через микроконтроллер остаются.
Обе компании подчеркивают важность постоянного совершенствования системы безопасности и многоуровневой защиты для защиты средств пользователей. Несмотря на прошлые взломы, затронувшие индустрию криптовалютных аппаратных кошельков, Trezor заверяет пользователей, что их средства остаются в безопасности, и немедленных действий не требуется.
