Производитель аппаратных криптокошельков Trezor устранил уязвимость в моделях Safe 3 и Safe 5. Проблему выявила исследовательская команда конкурента — Ledger, сообщил CFO компании Шарль Гийоме.
Речь шла о микроконтроллере кошельков, который позволял проводить криптографические операции. Это могло сделать Safe 3 и Safe 5 «уязвимыми для более сложных атак», отметил Гийоме.
Trezor уже внедрила микросхемы Secure Elements, предназначенные для защиты PIN-кода пользователя и криптографических данных. В Ledger отметили, что функция «эффективно предотвращает любые недорогие аппаратные атаки, в частности сбои напряжения».
«[Это] дает пользователям уверенность в том, что их средства в безопасности, даже если их устройство будет потеряно или украдено», — подчеркнула исследовательская команда.
Однако Ledger обнаружил еще один потенциальный вектор атаки, связанный с микроконтроллером другой основной части двухчиповой конструкции для моделей Safe 3 и 5.
Хотя в Trezor предусмотрена проверка целостности прошивки, инженерам Ledger удалось обойти эту защиту. Позднее производитель устранил уязвимость.
Представители компании заверили, что средства пользователей оставались в безопасности, и никаких действий от клиентов не требуется.
Однако на вопрос, удалось ли Trezor исправить проблему с помощью прошивки, поставщик аппаратного кошелька ответил отрицательно.
«В области кибербезопасности действует простое золотое правило: ничто не может быть полностью неуязвимым», — прокомментировали в компании.
Команда Trezor сообщила о внедрении многоуровневой защиты от атак на цепочку поставок и посоветовала пользователям покупать устройства только у официальных дистрибьюторов.
Напомним, в январе 2024 года разработчики компании сообщили об инциденте с безопасностью у стороннего провайдера службы поддержки, который привел к утечке данных примерно 66 000 клиентов.
В декабре 2024 года злоумышленники от имени службы поддержки Ledger разослали фейковое уведомление о взломе сервиса, заставляя пользователей раскрыть сид-фразы.