Nhà sản xuất ví phần cứng lớn Ledger đã tiết lộ lỗ hổng trong các thiết bị đối thủ trực tiếp của mình, theo báo cáo được công bố vào thứ Hai. 11.

Vào thời điểm báo chí, Trezor không có mặt ngay lập tức để bình luận về phát hiện của Ledger.

Nghiên cứu nói rằng các lỗ hổng được tìm thấy bởi Attack Lab, bộ phận của công ty đột nhập vào cả hai thiết bị của riêng và đối thủ để cải thiện an ninh. Ledger tuyên bố rằng họ đã nhiều lần đề cập đến Trezor về những điểm yếu trong ví Trekey One và Trezor T của họ, và đã quyết định công khai chúng sau khi thời gian tiết lộ có trách nhiệm kết thúc.

. Theo nhóm Ledger, thiết bị Trezor có thể được bắt chước bằng cách sao lưu thiết bị bằng phần mềm độc hại và sau đó niêm phong lại trong hộp của nó bằng cách giả mạo nhãn dán chống giả mạo, được cho là dễ dàng gỡ bỏ. Ledger tuyên bố rằng lỗ hổng này chỉ có thể được khắc phục bằng cách đại tu thiết kế ví Trekey và đặc biệt, bằng cách thay thế một trong các thành phần cốt lõi bằng chip Secure Element.

Thứ hai, tin tặc Ledger đã đoán được giá trị của mã PIN trên ví Trezor bằng cách sử dụng một cuộc tấn công kênh bên và đã báo cáo nó cho Trezor vào cuối tháng 11 năm 2018. Công ty sau đó đã giải quyết vấn đề trong bản cập nhật firmware 1.8.0.

Lỗ hổng thứ ba và thứ tư, mà Ledger cũng đề nghị giải quyết bằng cách thay thế thành phần cốt lõi bằng chip Secure Element, bao gồm khả năng đánh cắp dữ liệu bí mật từ thiết bị. Ledger tuyên bố rằng kẻ tấn công có quyền truy cập vật lý vào Trezor One và Trezor T có thể trích xuất tất cả dữ liệu từ bộ nhớ flash và giành quyền kiểm soát tài sản được lưu trữ trên thiết bị.

Điểm yếu cuối cùng được phát hiện cũng liên quan đến bảo mật của Trezor mô hình: theo Ledger, thư viện tiền điện tử của Trezor One không chứa các biện pháp đối phó thích hợp chống lại các cuộc tấn công phần cứng. Nhóm nghiên cứu tuyên bố rằng một hacker có quyền truy cập vật lý vào thiết bị có thể trích xuất khóa bí mật thông qua một cuộc tấn công kênh bên, mặc dù Trezor đã tuyên bố rằng ví của họ có khả năng chống lại nó.

Vào tháng 11 năm 2018, chính Trezor đã cảnh báo rằng một bên thứ ba không xác định đang phân phối các bản sao một-một của thiết bị Trezor One hàng đầu của nó. Ví giả dường như có nguồn gốc từ Trung Quốc và do đó, công ty đã kêu gọi chủ sở hữu chỉ mua ví từ trang web của Trezor.

Tuy nhiên, trong báo cáo gần đây, Ledger tuyên bố rằng người dùng không thể chắc chắn ngay cả khi họ mua phần cứng từ trang web chính thức của Trezor. Kẻ tấn công có thể có thể mua một số thiết bị, sao lưu chúng và sau đó gửi lại cho nhà sản xuất yêu cầu hoàn tiền. Trong trường hợp thiết bị bị xâm nhập được bán lại, tiền điện tử của người dùng có thể bị đánh cắp, Ledger kết luận.

Vào tháng 11 năm 2018, nhóm nghiên cứu đằng sau dự án hack được gọi là Wallet.fail , Ledger Nano S và Ledger Blue tại hội nghị Ký ức làm mới 35C3. Cả Trezor và Ledger đều thừa nhận các lỗ hổng được tìm thấy – với Trekey lưu ý rằng bản cập nhật firmware sẽ giải quyết chúng – nhưng Ledger cũng nói thêm rằng chúng không quan trọng đối với ví của nó.



Nguồn Cointelegraph