Ledger + Trezor: конкуренты объединились ради безопасности кошельков

Французская компания Ledger помогла конкуренту устранить найденную уязвимость в аппаратных кошельках Trezor Safe 3. Команда Ledger обнаружила, что устройство уязвимо для атак на этапе поставок. Это означало, что злоумышленник мог потенциально модифицировать ПО кошелька до попадания к пользователю, ставя под угрозу средства.

Ledger Donjon — команда исследователей безопасности Ledger — выяснила, что в Trezor Safe 3 и Safe 5 используется двухчиповая архитектура, включающая защищённый элемент и микроконтроллер. Однако криптографические операции в данных моделях выполняются на микроконтроллере, что создает дополнительный риск. В случае компрометации программного обеспечения злоумышленник мог бы получить удалённый доступ к средствам пользователя.

Ветка твитов CTO Ledger Шарля Гийемета об уязвимости Trezor Safe 3 (@P3b7_)

Несмотря на наличие у Trezor механизмов защиты, специалисты Ledger Donjon смогли их обойти. После сообщения о проблеме компания Trezor оперативно внесла исправления, обеспечив дополнительную безопасность своих устройств. При этом представители Trezor заверили, что средства пользователей находятся в безопасности, а владельцам кошельков не требуется предпринимать никаких действий, если они приобрели устройство у официальных поставщиков.