Создатели холодного кошелька Ledger прокомментировали презентацию команды wallet. fail, которая продемонстрировала взлом устройства. Разработчики заявили, что исследователи преувеличивают опасность.
В Ledger отметили:
Им не удалось извлечь PIN-код или seed-фразу из похищенного устройства. Все критически значимые активы, находящиеся в элементе безопасности, защищены. Не беспокойтесь, ваши криптовалютные активы по-прежнему в безопасности.
Разработчики Ledger пояснили, что считают непрактичной схему с физической модификацией кошелька Ledger Nano S, установкой вредоносного ПО на компьютер жертвы и возможностью подписания транзакций после ввода PIN-кода. Они добавили:
Целеустремлённый хакер, определённо, будет использовать более эффективные приёмы, например, установит камеру, чтобы зафиксировать PIN-код в момент его ввода пользователем.
Процедура взлома слишком сложная, к тому же требует, чтобы пользователь сам инициировал транзакцию. Реализовать схему можно, но скорее теоретически.
Второй сценарий, показанный wallet. fail, разработчики также раскритиковали. В нём специалисты по безопасности установили собственную прошивку на микропроцессор, и это действительно позволяет перевести устройство в режим отладки. Но вряд ли схема приведёт к полноценному взлому:
Они заявили, что выявили способ обхода проверки микропроцессора, но не показали, как использовался сам баг.
Атаку «контролируемое машинное обучение» для извлечения PIN-кода из устройства Ledger Blue создатели кошелька также сочли нелогичной:
Эта атака, определённо, очень интересна, он она не позволяет извлечь PIN-код в реальных условиях. Для решения проблемы нами уже была внедрена рандомизированная клавиатура, с помощью которой осуществляется ввод PIN-кода. Опять же, проще установить камеру, чтобы зафиксировать PIN-код, когда его вводит пользователь.
В финале обращения разработчики Ledger раскритиковал команду wallet. fail за то, что они решили публично показать уязвимости, а не приняли участие в программе по отлову багов. Создатели кошелька заявили:
Мы считаем, что их заключения не говорят о наличии каких-либо уязвимостей, пригодных для применения на практике.