Доклад о проблемах в аппаратных кошельках Trezor и Ledger представлен тремя авторами на конференции Chaos Communication Congress.
Эксперты нашли несколько уязвимых мест в безопасности кошельков, в числе которых атаки по стороннему каналу, атаки на цепочку поставок и бреши в прошивке и чипе.
Например, они без труда вскрыли бесследно защитные стикеры на коробке Trezor One и USB-порте кошелька при помощи обычного фена. После этого эксперты вскрыли кошельки Ledger и получили доступ к их аппаратной составляющей. Надо отметить, что Ledger на свои устройства защитные стикеры не ставит. Также слабое место было найдено в кошельке Trezor , где можно подменить микроконтроллер. Таки образом на устройствах можно подключиться к аппаратному дебаггеру и получить свободный доступ к чипу, затем совершать перепрошивку с помощью вредоносного ПО.
В кошельке Trezor One найдена еще одна уязвимость, извлекая из RAM приватный ключ или seed-ключ, что позволило найти доступ к криптовалюте и перевести средства на другой кошелек.
На доклад последовал ответ производителей. По мнению команды Ledger, все показынне экспертами атаки трудноосуществимы и требуют физического доступа к устройству. Поэтому простым пользователям не нужно беспокоиться. А разработчики Trezor сообщили о подготовке патчей, но тем не менее, солидарны с коллегами из Ledger в том, что атаки можно совершить только после физического доступа к устройству.
Аппаратные кошельки - это один из самых надежных и безопасных способов хранения криптовалюты. Это физические носители, которые внешне напоминают флеш-карты или планшеты. На них хранятся ключи, а взломать такие кошельки невозможно, поскольку они не подключены к сети.