Wallet.fail обнаружили уязвимость в аппаратных криптокошельках Trezor и Ledger

Исследовательская группа Wallet.fail совершили удачную попытку взлома известных аппаратных криптокошельков.

Объектами исследования стали устройства Trezor One, Ledger Nano S и Ledger Blue.

В ходе эксперимента были обнаружены архитектурные, физические, программные уязвимости, в том числе проблемы, которые позволят взломщикам заполучить доступ к цифровым активам.

При демонстрации взлома кошелька фирмы Trezor, инженерам удалось заполучить PIN-код и мнемоническое ядро.

Затем был взломан загрузчик устройства Ledger Nano S, удалённо подписана транзакция и запущенна игра «Змейка».

В Ledger Blue, являющимся самым дорогостоящим устройством фирмы, из-за замедленной передачи сигнала на экран материнской платой, при подключении девайса к компьютеру, радиоволны становятся более мощными, что позволяет перехватить их. Таким образом исследователи завладели данными о PIN-коде.

Технический директор компании SatoshiLabs Павол Руснак заявил, что специалисты Trezor примут во внимание результаты взлома продукции и обновят ПО к концу января.

Компания Ledger отреагировала на происходящее и подчеркнула, что обнаруженные уязвимости не сказываются на безопасности хранящихся активов.