RSS канал
Презентация под названием wallet.fail коснулась и кошельков Ledger: во время 3 попыток атак, которые могли бы показать критическую уязвимость аппаратного кошелька, команда не смогла получить сид либо PIN «украденного» устройства. Все критически значимые активы, находящиеся в элементе безопасности, защищены. «Не тревожьтесь, ваши криптовалютные активы как и прежде в безопасности».
Во время демонстрационных атак команде Wallet.fail удалось извлечь PIN-код и мнемоническое ядро из RAM Trezor, удаленно подписать транзакцию и взломать загрузчик Ledger Nano S, а кроме этого перехватить PIN-код Ledger Blue.
Так же компания отметила, что не все представленные методы атаки были логичны, указав, например на то, что установка камеры для отслеживания набора PIN была бы не менее эффективным решением.
Производители обращают внимание, что для атаки при загрузке флешки кошелька, потребуется дождаться момента первой транзакции, угадав время и место, однако согласились с уязвимостью, пообещав устранить ее в следующей прошивке.
Ученые Wallet.fail также сообщили, что установили свою прошивку на микропроцессор. «Они сообщили, что выявили способ обхода проверки микропроцессора, однако не показали, как употреблялся сам баг».
Идентичным образом создатели комментируют извлечение PIN-кода из устройства Ledger Blue с помощью атаки типа «контролируемое машинное обучение». Для этого сценария нами уже была внедрена рандомизированная клавиатура, при помощи которой осуществляется ввод PIN-кода.
«У wallet.fall не получилось извлечь seed-фразу либо PIN-код из аппаратного кошелька».
Создатели довольно известных аппаратных криптокошельков прокомментировали информацию от wallet.fail по поводу уязвимости собственной продукции, передает CCN.
Для обеспокоенных вопросами безопасности пользователей, напоминает компания, есть функция «passphrase», однако утрата данной основной фразы приведет к потере средств.