Во время «Chaos Communication Congress» в немецком Лепйпциге специалистам компании Wallet.fail удалось провести демонстрационные атаки, которые выявили несколько критических уязвимостей аппаратных кошельков Trezor и Ledger.
https://twitter.com/5chdn/status/1078327630229835777
Эксперты по крипто-безопасности смогли заполучить пин-код от кошелька и мнемоническое ядро, путем считывания оперативной памяти кошелька Trezor. В кошельке Ledger Nano S получилось взломать загрузчик, а также подписать транзакцию. Еще один аппаратный кошелек – Ledger Blue – также удалось взломать – специалисты смогли «достать» пин-код для доступа к памяти устройства.
В Wallet.fail подытожили, что баги присутствуют во всех элементах кошелька – в самой прошивке, программной части, а также в веб-интерфейсе кошелька. Для всех холодных кошельков баги, в основном, идентичные. Исправить их можно путем модификации прошивки микроконтроллеров.
