Ledger прокомментировал информацию о взломе его аппаратных крипто-кошельков

casio

Производитель популярных аппаратных кошельков для хранения криптовалют Ledger отреагировал на презентацию команды wallet.fail, заявившей о выявлении нескольких векторов атак на его устройства.

«Им не удалось извлечь PIN-код или seed-фразу из похищенного устройства. Все критически значимые активы, находящиеся в элементе безопасности, защищены, – пишет компания. – Не беспокойтесь, ваши криптовалютные активы по-прежнему в безопасности».

В частности, физическую модификацию кошелька Ledger Nano S с последующей установкой вредоносного ПО на компьютер жертвы и возможностью подписания транзакций после ввода PIN-кода они называют «непрактичной». «Целеустремлённый хакер, определённо, будет использовать более эффективные приёмы, например, установит камеру, чтобы зафиксировать PIN-код в момент его ввода пользователем».

Согласно утверждению компании, получение физического доступа к устройству и установка вредоносного ПО на компьютер жертвы – это слишком сложная процедура, которая к тому же требует от хакера ожидать инициации транзакции самим пользователем, поэтому вряд ли кто-то возьмётся за его реализацию. В то же время, они не отрицают, что это возможно.

Другой сценарий, где исследователи установили собственную прошивку на микропроцессор, действительно позволяет перевести устройство в режим отладки, отмечает Ledger, добавляя, что этим возможности предполагаемого злоумышленника, скорее всего, ограничиваются. «Они заявили, что выявили способ обхода проверки микропроцессора, но не показали, как использовался сам баг».

Аналогичным образом разработчики комментируют извлечение PIN-кода из устройства Ledger Blue при помощи атаки типа «контролируемое машинное обучение».

«Эта атака, определённо, очень интересна, он она не позволяет извлечь PIN-код в реальных условиях, – пишет компания. – Для решения проблемы нами уже была внедрена рандомизированная клавиатура, с помощью которой осуществляется ввод PIN-кода. Опять же, проще установить камеру, чтобы зафиксировать PIN-код, когда его вводит пользователь».

Также Ledger раскритиковал команду wallet.fail за то, что они решили публично показать уязвимости их устройств на конференции, а не прибегли к программе по отлову багов, предусмотренной для таких случаев. «Мы считаем, что их заключения не говорят о наличии каких-либо уязвимостей, пригодных для применения на практике», – добавляет компания.

garryncha

Оказывается, что не все так тут просто как заявляли спецы из wallet.fail.

casio

Участник @garryncha написал в Ledger прокомментировал информацию о взломе его аппаратных крипто-кошельков:

Оказывается, что не все так тут просто как заявляли спецы из wallet.fail.

ну и хорошо , что дело добром кончилось ....

Ivan Ivanov

на самом деле трудно было ожидать, что компания-производитель согласится со всем показанным, они стараются защитить свой продукт.

casio

Участник @ivan-ivanov написал в Ledger прокомментировал информацию о взломе его аппаратных крипто-кошельков:

на самом деле трудно было ожидать, что компания-производитель согласится со всем показанным, они стараются защитить свой продукт.

Да даже если бы действительно бы их сломали, они думаю промолчали бы...

garryncha

@casio Промолчать в этом случае - не лучший вариант поведения. Это равносильно признанию своих косяков.

casio

Участник @garryncha написал в Ledger прокомментировал информацию о взломе его аппаратных крипто-кошельков:

@casio Промолчать в этом случае - не лучший вариант поведения. Это равносильно признанию своих косяков.

Ну выйти и стать на колени , мол простите люди добрые , такого точно не было бы.

Ivan Ivanov

@casio так команда wallet.fail все обнародовала, как могла компания промолчать? тогда бы пользователи утратили доверие к кошелькам.

casio

Участник @ivan-ivanov написал в Ledger прокомментировал информацию о взломе его аппаратных крипто-кошельков:

@casio так команда wallet.fail все обнародовала, как могла компания промолчать? тогда бы пользователи утратили доверие к кошелькам.

Ну уже выяснили, опасности нет. Так что можно расслабиться ...

Ivan Ivanov

@casio я бы так не верил словам компании, ведь они стараются защитить свое имя. истина где-то посередине.

casio

Участник @ivan-ivanov написал в Ledger прокомментировал информацию о взломе его аппаратных крипто-кошельков:

@casio я бы так не верил словам компании, ведь они стараются защитить свое имя. истина где-то посередине.

Ну у меня их кошелька как бы не было ... да и не планирую я такой покупать себе.

Ivan Ivanov

@casio если крупной суммы в криптовалюте нет, то и смысла в покупке такого кошелька нет.

casio

Участник @ivan-ivanov написал в Ledger прокомментировал информацию о взломе его аппаратных крипто-кошельков:

@casio если крупной суммы в криптовалюте нет, то и смысла в покупке такого кошелька нет.

Да даже если и была бы... не стал бы такое делать.

Ivan Ivanov

@casio денег жалко или боитесь чего-то нового?

casio

Участник @ivan-ivanov написал в Ledger прокомментировал информацию о взломе его аппаратных крипто-кошельков:

@casio денег жалко или боитесь чего-то нового?

Ну просто есть другие же методы как хранить свои запасы .... без этих модных штучек...

Ivan Ivanov

@casio может когда будет крупная сумма в криптовалюте, тогда вы перемените свое мнение.

casio

Участник @ivan-ivanov написал в Ledger прокомментировал информацию о взломе его аппаратных крипто-кошельков:

@casio может когда будет крупная сумма в криптовалюте, тогда вы перемените свое мнение.

ну тогда я себе просто кор на отдельный ноутбук поставлю...

Ivan Ivanov

@casio это только если биткоин у вас будет. а если и другие монеты?

casio

Участник @ivan-ivanov написал в Ledger прокомментировал информацию о взломе его аппаратных крипто-кошельков:

@casio это только если биткоин у вас будет. а если и другие монеты?

да думаю не стоит на долгосрок всякие альты держать.

Ivan Ivanov

@casio почему не стоит? некоторые проекты развиваются и в дальнейшем могут хорошо вырасти в цене.