Ledger обнаружил уязвимости в моделях кошельков Trezor Safe 3 и Safe 5

Согласно отчёту компании Ledger, у последних моделей аппаратных криптокошельков Trezor Safe 3 и Safe 5 есть серьёзные проблемы с безопасностью.

Эксперты обнаружили множество уязвимостей в микроконтроллерах этих устройств, через которые хакеры могут получить удалённый доступ к средствам пользователей.

Проблемы появились несмотря на то, что аппаратный кошелёк Trezor был модернизирован до двухчиповой конструкции, включающей сертифицированный элемент безопасности EAL6+. И хотя элемент безопасности защищает PIN-коды и приватные ключи, в отчёте Ledger подчёркивается, что все криптографические операции по-прежнему выполняются на микроконтроллере, который уязвим для атак с использованием скачков напряжения.

В случае взлома злоумышленник может получить доступ к личным данным, изменить встроенное ПО и обойти проверки безопасности, чтобы украсть средства пользователей кошельков.

В конце 2023 года компания Trezor выпустила кошелёк Safe 3, а в середине 2024 года — Safe 5.

В Trezor быстро отреагировали на выводы Ledger. Признав наличие уязвимости микроконтроллера, компания заявила, что исправление прошивки в настоящее время недоступно. Однако в Trezor заверили пользователей, что все средства в безопасности.

Ваши средства в безопасности, и вам не нужно предпринимать никаких действий. Ledger использовал ранее известную атаку, чтобы обойти некоторые из наших мер противодействия атакам на цепочки поставок в Trezor Safe 3. Тем не менее пользователи, которые совершают покупки из официальных источников, находятся в полной безопасности, — заявили в Trezor.