Как известно, аппаратные кошельки считаются самыми надёжными средствами и способами для хранения криптовалюты. Известный кошелёк Ledger Nano S стоимостью около 100 долларов США, купленный миллионами людей по всему миру, был взломан 15-летним подростком по имени Салим Рашид.
Рашид заметил, что микроконтроллер, используемый в кошельке, не был безопасным. Ввод личных данных был сопряжен с тем, что кошелек был подключен как к прокси-серверу к Secure Element (SE). Последнее содержало закрытые ключи - это означало, что хакер может обмануть SE по-разному. Вот как: розничные торговцы и реселлеры могут изменить прошивку микроконтроллера, могут подтвердить ее «идентификацию» для SE. Далее он пояснил, что злоумышленник может контролировать пользовательский интерфейс и использовать установленный вредоносный код. Теперь, когда злоумышленники имеют доступ к секретной фразе, они могут легко получить секретные ключи.
Рашид отправил своё исследование в Леджер, к которому команда разработчиков не отнеслась серьёзно. Они опубликовали обновление прошивки 6 марта, которое сильно раскритиковал Рашид. Рашид высказался в Твиттере, поскольку он считал, что команда должна либо объявить о нём, как о критическом обновлении и исправить ошибку, либо замаскировать её, чтобы хакеры не успели использовать этот трюк.
Подросток, который живет в Великобритании, ранее уже обнаружил проблему в аппаратном кошельке TREZOR One. Проблема была решена с помощью здорового общения между обеими сторонами. Генеральный директор SatoshiLabs Марек Палатинус даже похвалил Рашида за его работу: «Его мышление и творческий подход помогают нам сделать еще более безопасный продукт».
Вероятнее всего ошибка, найденная в Ledger, будет исправлена в скором времени.
