Исследователи продемонстрировали атаки на кошельки Trezor и Ledger
Специалисты выявили пять векторов атак на популярные аппаратные криптовалютные кошельки.
В четверг, 27 декабря, на конгрессе 35c3 в Лейпциге (Германия) исследователи берлинской кампании Wallet.fail продемонстрировали успешные атаки на популярные аппаратные криптовалютные кошельки Trezor и Ledger. «Наши атаки на аппаратные кошельки варьируются от взлома проприетарной защиты загрузчика и взлома web-интерфейсов для взаимодействия с кошельками до физических атак, включая вызов сбоев с целью обхода механизмов безопасности, реализованных в микроконтроллерах кошелька. Наш обширный анализ нескольких кошельков выявил систематические и повторяющиеся проблемы», — сообщили исследователи.
В частности, исследователям удалось:
Извлечь PIN-код и мнемоническую фразу из оперативной памяти кошелька Trezor;
Удаленно подписать транзакции через взломанный кошелек Ledger Nano S;
Получить PIN-код для доступа к кошельку Ledger Blue с помощью атаки по сторонним каналам;
Запустить игру «Змейка» через загрузчик на кошельке Ledger Nano S.
По словам исследователей, им удалось выявить в кошельках разные типы уязвимостей, которые можно проэксплуатировать как вместе, так и по отдельности. Команда Wallet.fail выявила следующие векторы атак: архитектура, прошивка, аппаратное обеспечение, программное обеспечение, физические компоненты.
Согласно заявлению Ledger, продемонстрированные исследователями атаки являются трудноосуществимыми с практической стороны и не представляют опасности.
Компания Trezor анонсировала выход обновления пошивки уже в следующем месяце. Как и Ledger, Trezor отметила низкую опасность продемонстрированных атак, поскольку для их осуществления требуется физический доступ к устройству. Компания уверила своих пользователей в том, что им ничего не грозит, если хранить кошельки в надежном месте. По словам представителей Trezor, раскрыв подробности об уязвимостях на конференции, предварительно не сообщив о них производителям, команда Wallet.fail поступила безответственно.