根據3月份發布的一份報告,主要的硬件錢包製造商Ledger公佈了其直接競爭對手Trezor設備的漏洞。11。
截至發稿時,Trezor沒有立即對Ledger的調查結果發表評論。
該研究表明,漏洞是由攻擊實驗室發現的,該公司的部門侵入其自身和競爭對手的設備以提高安全性。Ledger聲稱它已經多次向Trezor詢問他們的Trezor One和Trezor T錢包的弱點,並決定在負責任的披露期結束後將其公之於眾。
第一個問題與設備的真實性有關。根據Ledger團隊的說法,可以通過使用惡意軟件對設備進行後門處理來模仿Trezor設備,然後通過偽造防篡改貼紙將其重新密封在盒子中,據說這種貼紙很容易移除。Ledger指出,只有通過改造Trezor錢包的設計,特別是用安全元件芯片替換其中一個核心組件,才能解決這個漏洞。
其次,Ledger黑客據報導使用側通道攻擊猜測了Trezor錢包上PIN的價值,並於2018年11月底向Trezor報告。該公司後來在其固件更新1.8.0中解決了這個問題。
Ledger還提供了通過用安全元件芯片替換核心組件來解決的第三和第四個漏洞,包括從設備竊取機密數據的可能性。Ledger聲稱,對Trezor One和Trezor T具有物理訪問權限的攻擊者可以從閃存中提取所有數據,並控制存儲在設備上的資產。
發現的最後一個弱點也與Trezor的安全模型有關:根據Ledger的說法,Trezor One的加密庫沒有包含針對硬件攻擊的適當對策。該團隊聲稱,有物理訪問設備的黑客可以通過旁道攻擊提取密鑰,儘管Trezor聲稱它的錢包可以抵抗它。
在2018年11月,Trezor本身警告說,一個不知名的第三方正在分發其旗艦產品Trezor One的一對一副本。假錢包似乎來自中國,因此該公司敦促業主僅從Trezor的網站購買錢包。
然而,在最近的報告中,Ledger聲稱用戶即使從官方Trezor網站購買硬件也無法確定。攻擊者可能會購買幾個設備,將它們後門,然後將它們發回給製造商,要求報銷。Ledger總結說,如果再次出售受損設備,用戶的加密資金可能會被盜。
2018年11月,這個名為Wallet.fail的黑客項目背後的研究團隊展示了他們如何在35C3刷新回憶會議上攻擊Trezor One,Ledger Nano S和Ledger Blue。Trezor和Ledger都承認發現了漏洞–Trezor 注意到固件更新會解決這些漏洞- 但Ledger還補充說,他們對錢包並不重要。
來源 : Cointelegraph.com
Telegram : https://t.me/blockchainsdaily