Cпециалисты по кибербезопасности продемонстрировали ряд уязвимостей в кошельках Trezor и Ledger
Команда специалистов по кибербезопасности Wallet.fail (Дмитрий Недоспасов, Томас Рот Джош Датко) на мероприятии Chaos Communication Congress, которое прошло 27 декабря в Лейпциге, продемонстрировала серию успешных атак на популярные аппаратные криптовалютные кошельки Trezor и Ledger.
Специалисты обнаружили ряд аппаратных и программных и уязвимостей, которые позволяют злоумышленнику получить доступ к средствам на кошельках. Команде им удалось перехватить PIN-код из кошелька Trezor и Ledger Blue, а также удаленно подписать транзакцию и взломать загрузчик Ledger Nano S.
Атаки варьируются от взлома проприетарной защиты загрузчика и взлома веб-интерфейса, который используется для работы с кошельками, до физических атак, нацеленных на обход защиты в микроконтроллерах кошелька. В конце своего выступления специалисты предложили несколько решений для создания более устойчивых аппаратных кошельков.