Во время «Chaos Communication Congress» в немецком Лепйпциге специалистам компании Wallet.fail удалось провести демонстрационные атаки, которые выявили несколько критических уязвимостей аппаратных кошельков Trezor и Ledger.
https://twitter.com/5chdn/status/1078327630229835777
Эксперты по крипто-безопасности смогли заполучить пин-код от кошелька и мнемоническое ядро, путем считывания оперативной памяти кошелька Trezor. В кошельке Ledger Nano S получилось взломать загрузчик, а также подписать транзакцию. Еще один аппаратный кошелек – Ledger Blue – также удалось взломать – специалисты смогли «достать» пин-код для доступа к памяти устройства.
В Wallet.fail подытожили, что баги присутствуют во всех элементах кошелька – в самой прошивке, программной части, а также в веб-интерфейсе кошелька. Для всех холодных кошельков баги, в основном, идентичные. Исправить их можно путем модификации прошивки микроконтроллеров.
Похожие публикации:
- Найденную в 2017 году уязвимость аппаратных кошельков Ledger так и не устранили
- Bitfi Макафи снова выведен из строя
- Аппаратный кошелек Trezor обзавелся полезным функционалом
- Аппаратный кошелек Trezor добавил поддержку PiedPiperCoin
- Trezor атаковали хакеры
- Аппаратные кошельки Ledger получат поддержку стейблкоинов
- Опенсорсный кошелек BitPay подвержен взлому через node.js
- За полгода из приложений EOS были украдены 760 тысяч долларов