Производители популярных аппаратных кошельков для хранения биткоина и других криптовалют Ledger и Trezor опубликовали официальные заявления, в которых ответили на информацию о том, что исследователям wallet.fail предположительно удалось выявить несколько векторов атак на их устройства.
Так, французская компания Ledger заявила, что хотя исследователи и указали три вектора атаки, которые создают впечатление, что в устройствах присутствуют критические уязвимости, это не соответствует действительности.
«Им не удалось извлечь PIN-код или seed-фразу из похищенного устройства. Все критически значимые активы, находящиеся в элементе безопасности, защищены. Причин для беспокойства нет: ваши криптовалютные активы по-прежнему находятся в безопасности», — говорится в блоге Ledger.
Напомним, что команда Wallet.fail утверждала ровно обратное: по ее заявлению, исследователям удалось извлечь PIN-код и мнемоническое ядро из RAM Trezor, удаленно подписать транзакцию и взломать загрузчик Ledger Nano S, а также перехватить PIN-код Ledger Blue.
Тем не менее разработчики Ledger назвали «непрактичной» физическую модификацию кошелька Ledger Nano S с последующей установкой вредоносного ПО на компьютер жертвы и возможностью подписания транзакций после ввода PIN-кода.
«Мотивированный хакер определенно использовал бы более эффективные приемы, например, установка камеры для фиксации PIN-кода в момент его ввода пользователем», — говорят представители Ledger.
Производитель также настаивает, что получение физического доступа к устройству и установка вредоносного ПО на компьютер жертвы – это слишком сложная процедура, которая вдобавок предполагает, что хакер вынужден ожидать инициацию транзакции самим пользователем. Не исключая, что в теории такой сценарий возможен, его воплощения в жизни команда Ledger не видит.
Исследователи Wallet.fail также заявили, что установили собственную прошивку на микропроцессор. По мнению Ledger, такой сценарий действительно позволяет перевести устройство в режим отладки, однако этим возможности предполагаемого злоумышленника, скорее всего, ограничиваются.
«Они заявили, что выявили способ обхода проверки микропроцессора, но не показали, как использовался сам баг», — заявляет Ledger.
Французская компания также прокомментировала извлечение PIN-кода из устройства Ledger Blue при помощи атаки типа «контролируемое машинное обучение».
«Эта атака определенно интересна, он она не позволяет извлечь PIN-код в реальных условиях. Для этого сценария нами уже была внедрена рандомизированная клавиатура, с помощью которой осуществляется ввод PIN-кода. Опять же, будет проще установить камеру, чтобы зафиксировать PIN-код в момент его ввода пользователем», — заключили разработчики.
Ledger также раскритиковал команду Wallet.fail за то, что та решила показать уязвимости публично вместо того, чтобы обратится к баунти-программе по отлову багов.
«Ответственное раскрытие [уязвимостей] – это лучшая практика, которой необходимо следовать, чтобы защитить пользователей и повысить безопасность наших продуктов», — заявили в Ledger.
Trezor: продолжайте пользоваться вашими устройствами
Тем временем базирующийся в Праге производитель кошельков Trezor признал наличие уязвимости, однако подчеркнул, что для того, чтобы ей воспользоваться, злоумышленнику необходимо иметь физический доступ к устройству жертвы.
Для обеспокоенных вопросами безопасности пользователей, напоминает компания, есть функция «passphrase», но потеря этой ключевой фразы приведет к потере средств.
Напомним, минувшим летом компания Ledger заявила, что только в 2017 году продала более миллиона своих мультивалютных аппаратных криптокошельков, заработав в совокупности $29 млн.