Исследователи раскрыли несколько векторов атак на аппаратные крипто-кошельки Trezor и Ledger
-
27 декабря на мероприятии Chaos Communication Congress в Лейпциге команда исследователей кибербезопасности wallet.fail продемонстрировала серию успешных атак на популярные аппаратные крипто-кошельки Trezor и Ledger.
«Атаки, которые мы осуществляем на аппаратные кошельки, варьируются от взлома защиты проприетарного загрузчика до взлома веб-интерфейса, используемого для взаимодействия с кошельками, и физических атак, в том числе установки преград для обхода встроенной защиты микропроцессоров, – пишут они на своём сайте. – Изучение нескольких кошельков в широком контексте показало наличие симметричных и повторяющихся проблем».
Как объяснил разработчик Parity Technologies Афри Шедон, также присутствовавший на демонстрации, исследователям удалось успешно провести следующие типы атак:
Извлечение PIN-кода и мнемонического ядра из RAM Trezor;
Удалённое подписание транзакций с помощью взломанного Ledger Nano S;
Перехват PIN-кода Ledger Blue;
Взлом загрузчика Ledger Nano S.Также wallet.fail назвали пять типов уязвимостей, на которые могут быть направлены атаки против пользователей аппаратных кошельков:
Архитектурный вектор;
Вектор прошивки;
Аппаратный вектор;
Физический вектор;
Программный вектор.
«Представленные нами уязвимости ранжируются от тех, которые могут быть устранены на уровне прошивки, до багов, которые требуют изменения аппаратной составляющей, и тех, которые затрагивают микропроцессоры, что требует их полной замены», – отметили исследователи, подчеркнув, что для осуществления всех описанных типов атак злоумышленнику сначала потребуется завладеть самим аппаратным кошельком пользователя. -
теперь у Parity Technologies появится много материала для раздумий и исправления имеющихся ошибок.
-
Участник @ivan-ivanov написал в Исследователи раскрыли несколько векторов атак на аппаратные крипто-кошельки Trezor и Ledger:
теперь у Parity Technologies появится много материала для раздумий и исправления имеющихся ошибок.
Ну уже они как бы ответили на все это ... даже новость про это прошла ...
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio не видел, но подозреваю, что сказали будет проблемы не критические и они их доработают.
-
@ivan-ivanov Нет, там речь шла о том, что выявленные уязвимости носят скорее теоретический характер.
[Браузер РЕАЛЬНО платит в ВТС !] https://cryptotabbrowser.com/126494
Кран 1-100 сат/час.https://www.bestchange.com/?p=1L4m6LtB2ogvYBqYYZV1gNej9spvh94abJ
Немецкий кран ( 5 лет работы) http://yannik.biz/?ref=43519 -
@garryncha это по словам компании-производителя, а на самом деле может дела обстоят не так хорошо, как заявляют.
-
@ivan-ivanov Ну может быть как обычно - истина где-то посредине. )
[Браузер РЕАЛЬНО платит в ВТС !] https://cryptotabbrowser.com/126494
Кран 1-100 сат/час.https://www.bestchange.com/?p=1L4m6LtB2ogvYBqYYZV1gNej9spvh94abJ
Немецкий кран ( 5 лет работы) http://yannik.biz/?ref=43519 -
@garryncha да, исследователи хотя сгустить краски, а компания-производитель сказать, что вообще ничего серьезного.
-
@ivan-ivanov Ну эта группа исследователей вполне вероятно еще и попиариться хотела на этом деле.
[Браузер РЕАЛЬНО платит в ВТС !] https://cryptotabbrowser.com/126494
Кран 1-100 сат/час.https://www.bestchange.com/?p=1L4m6LtB2ogvYBqYYZV1gNej9spvh94abJ
Немецкий кран ( 5 лет работы) http://yannik.biz/?ref=43519 -
@garryncha дело они свое сделали, нашли ошибки. значит действительно чего-то стоят.
-
@ivan-ivanov Интересно будет понаблюдать за обновлениями этого кошелька.
[Браузер РЕАЛЬНО платит в ВТС !] https://cryptotabbrowser.com/126494
Кран 1-100 сат/час.https://www.bestchange.com/?p=1L4m6LtB2ogvYBqYYZV1gNej9spvh94abJ
Немецкий кран ( 5 лет работы) http://yannik.biz/?ref=43519 -
Ну и смысл тогда вообще в целом в этих аппаратных кошелках если на данный момент их также можно взломать без проблем?
-
Участник @garryncha написал в Исследователи раскрыли несколько векторов атак на аппаратные крипто-кошельки Trezor и Ledger:
@ivan-ivanov Интересно будет понаблюдать за обновлениями этого кошелька.
Там аппаратная дыра ... ее прошивкой не изменить ...
-
@andrei1990bit их не так легко взломать, да и просто дают чувство защищенности, в отличие от онлайн-кошельков.
-
Участник @ivan-ivanov написал в Исследователи раскрыли несколько векторов атак на аппаратные крипто-кошельки Trezor и Ledger:
@andrei1990bit их не так легко взломать, да и просто дают чувство защищенности, в отличие от онлайн-кошельков.
Ну думаю если так все пойдет, то скоро их вскроют ... вопрос только во времени как говориться ...
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio любое устройство можно вскрыть, только нужно учитывать, сколько на это уйдет времени и средств.
-
Участник @ivan-ivanov написал в Исследователи раскрыли несколько векторов атак на аппаратные крипто-кошельки Trezor и Ledger:
@casio любое устройство можно вскрыть, только нужно учитывать, сколько на это уйдет времени и средств.
ну тут хакеры будут в свободное от работы время работать )))
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio Я слышал про бумажные кошельки - а это что такое вообще и как с ними работать? Просто даже не пересекался. И аппаратный можно взломать только когда онлайн как я понимаю?
-
Участник @andrei1990bit написал в Исследователи раскрыли несколько векторов атак на аппаратные крипто-кошельки Trezor и Ledger:
@casio Я слышал про бумажные кошельки - а это что такое вообще и как с ними работать? Просто даже не пересекался. И аппаратный можно взломать только когда онлайн как я понимаю?
делаете просто распечатку ключа на бумаге... вот вам и бумажный кошелек ...
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio Но то есть если появишься онлайн все равно могут взломать по идее - так что это тоже не вариант как я понимаю.
