Что нового?

Добро пожаловать!

Для того чтобы отправлять личные сообщения, общаться в чате, видеть скрытые материалы и зарабатывать $ вам необходимо зарегистрироваться!

Регистрация

Trezor опровергла данные об уязвимости криптокошельков

A

Alex077

Модератор
Регистрация
11 Ноя 2018
Сообщения
3,654
Реакции
59

Пожалуйста Войдите или Зарегистрируйтесь для просмотра ссылок

аппаратных криптовалютных кошельков Ledger представила отчет об обнаруженных уязвимостях в устройствах главного конкурента - фирмы Trezor. 12 марта сотрудники Trezor опубликовали

Пожалуйста Войдите или Зарегистрируйтесь для просмотра ссылок

, в которой выразили свое отношение к результатам исследования Ledger и сообщили об исправленных недостатках.


В отчете Ledger от 10 марта указано, что криптокошельки Trezor уязвимы к 5 видам атак:
  • Атака на цепочку поставок;
  • атака на программное обеспечение устройства;
  • атака по сторонним каналам для получения доступа к PIN коду;
  • атака по сторонним каналам на скалярное умножение;
  • атака на микрочип криптокошелька.
Сотрудники Trezor сообщили, что все вышеперечисленные виды атак невозможно осуществить удаленно, для их выполнения необходимо иметь доступ к устройству, специальное оборудование, время и технические знания. По данным исследования криптобиржи Binance, лишь 5,93% владельцев цифровых активов опасаются физических атак на криптокошельки, 66% считают, что главная угроза исходит от удаленных атак на устройства. Именно поэтому специалисты Trezor уверены, что Ledger намеренно сгущает краски в своем отчете.

В публикации Trezor указано, что главная цель аппаратного кошелька заключается в защите криптохранилища от компьютерных вирусов и удаленных атак. Более того, работники компании считают, что от любой физической атаки устройство можно обезопасить с помощью фразы-пароля и элементарных принципов операционной безопасности (к примеру, не подключать криптокошелек к компьютеру в общественном месте).

Представители Trezor прокомментировали каждую обнаруженную уязвимость по отдельности:

  1. Атака на цепочку поставок - это проблема, свойственная любому оборудованию, вне зависимости от уровня безопасности самого устройства. На каждом этапе перевозки аппаратные криптокошельки могут быть модифицированы, эту уязвимость невозможно исключить на 100%. Однако вероятность подобной атаки на устройства Trezor крайне мала, потому что компания тщательно контролирует процесс производства и доставки продукции.
  2. Атаку на программное обеспечение устройств Trezor невозможно выполнить на практике. Компания протестировала программный код кошельков и обнаружила лишь 2 уязвимости, которые не могли быть использованы хакерами. Trezor устранила эти недостатки и доказала высокий уровень безопасности кода.
  3. Вероятность атаки по сторонним каналам для получения доступа к PIN коду была устранена после установки патчей 1.8.0 для Trezor One и 2.1.0 для Trezor Model T. Разработчики изменили способ хранения PIN кода, поэтому данный вид атаки больше не угрожает пользователям кошельков.
  4. Атака по сторонним каналам на скалярное умножение может быть реализована, если злоумышленник знает PIN код и фразу-пароль, а также имеет физический доступ к кошельку. В этом случае человеку проще перевести деньги с устройства, чем взламывать его с помощью атаки по сторонним каналам.
  5. Абсолютно любой микрочип уязвим к определенным атакам, которые можно выполнить с помощью лабораторного оборудования для манипуляций с микроэлектроникой. Полную защиту от взлома не может гарантировать ни один производитель микрочипов.
В заключении сотрудники Trezor сообщили, что не существует ни одного аппаратного кошелька со 100% защитой от взлома. Тем не менее, у владельцев устройств есть возможность снизить вероятность атаки на криптокошелек. От кражи цифровых активов в результате потери или хищения устройства надежно защищает фраза-пароль, а от цифровых угроз можно себя обезопасить, соблюдая элементарные правила: не подключать криптокошелек к чужому компьютеру и не пользоваться устройством в общественном месте.
 
Mint Karras

Mint Karras

Новичок
Регистрация
13 Мар 2019
Сообщения
3
Реакции
0
Ledger все же отчасти правы, у Trezorа одна микросхема безопасности, а у Леджера - две, и вторая проверяет первую. И плюс не зря же Трезор опечатывает юсбэшный вход гологр. наклейкой, значит эти меры предосторожности не напрасны.
Цитирую одно издание:
Кроме суперклея, которым заклеен корпус, упаковка Trezor «опечатана» голографическими наклейками, которые также кажутся попыткой защиты от взлома. Усилия, прилагаемые производителем для того, чтобы гарантировать, что Trezor не будет взломан до получения конечным пользователем, должны настораживать. Trezor добавляет эти меры «безопасности» по той причине, что не может гарантировать, что новое устройство, заказываемое через его сайт, – это то самое устройство, которое он создал и запрограммировал.
По поводу правила "не подключать криптокошелек к чужому компьютеру" - Леджер по этому поводу пишет, что нет никакой опасности работать даже на скомпрометированном и зараженном компьютере, приватные ключи не покидают защищенную среду и в сеть уходит уже подписанная транзакция.
 
Сверху