Специалисты по кибербезопасности из компании Wallet. fail нашли ряд уязвимостей в аппаратных криптовалютных кошельках Trezor и Ledger. Они успешно провели атаки на холодные кошельки и продемонстрировали результаты на мероприятии Chaos Communication Congress в Лейпциге.
По словам экспертов, кошельки имеют «дыры» в программном и аппаратном обеспечении, прошивке, архитектуре ПО и веб-интерфейсе. На конгрессе эксперты показали, как извлечь PIN-код и мнемоническое ядро из RAM Trezor, удаленно подписать транзакцию и взломать загрузчик Ledger Nano S. Кроме того, они смогли перехватить PIN-код Ledger Blue.
remotely signing a transaction without touching the tampered Ledger Nano S (which passes genuine check btw) pic.twitter.com/X1rwSZs21x
— Afri 🌩️ (@5chdn) December 27, 2018
Эксперты отметили:
Изучение кошельков в широком контексте показало наличие симметричных и повторяющихся проблем.
Обновление прошивки может устранить часть уязвимостей. Другие проблемы можно решить только заменой микроконтроллеров.