Последние годы аппаратные кошельки считались самым надежным способом хранения приватных ключей, однако первая половина 2023 года нанесла этим устройствам серьезный репутационный ущерб. В этой статье мы расскажем об очередной уязвимости популярных аппаратных кошельков Trezor.
Trezor повержен
Компания Unciphered, которая занимается кибербезопасностью и восстановлением потерянной криптовалюты, заявила, что нашла способ физического взлома аппаратного криптокошелька модели Trezor T. В интервью CoinDesk специалисты компании отметили, что использовали неисправимую аппаратную уязвимость в чипе STM32, которая позволяет сбросить встроенную флэш-память и однократно программируемые (OTP) данные.
Компания провела видеодемонстрацию взлома кошелька, предоставленного CoinDesk, в результате которого смогла получить seed-фразу и пин-код, необходимые для получения доступа к активам. Ранее Unciphered уже успешно взламывала кошелек EthereumWallet и восстанавливала заблокированные криптовалюты.
Что говорят разработчики
Производитель кошельков сообщил CoinDesk, что у его команды нет достаточных данных о взломе, проведенном Unciphered, для полного ответа. В Trezor отметили, что инцидент напоминает обнаруженную три года назад возможность совершения атаки с понижением уровня защиты от чтения (RDP Downgrade).
Представитель пресс-службы Trezor отметил, что данный тип атак требует физической кражи устройства, чрезвычайно высоких технических навыков и наличия современного оборудования. При этом использование сложного пароля добавляет еще один уровень безопасности, который сделает атаку RDP Downgrade бесполезной.
Не первый раз
Ранее кошельки Trezor уже были скомпрометированы. В одной из наших статей мы рассказывали о появлении на рынке “взломанных” кошельков Trezor, которые могут передавать приватные ключи злоумышленникам. В результате одного из таких прецедентов владелец Trezor лишился криптовалюты на $30 000.
Больше не “холодный”
Другой популярный аппаратный кошелек - Ledger также находится не в лучшем положении после большого скандала, в результате которого стало известно, что разработчики кошелька всегда имели доступ к приватным ключам пользователей и готовы передавать данные властям.
Скандал произошел после того, как разработчики Ledger решили добавить функцию восстановления приватных ключей. Для этого они предлагали передавать ключи на хранение сторонним организациям, однако криптосообщество раскритиковало эту идею, поскольку она противоречит принципам “холодного” хранения активов.
Где хранить криптовалюту
Последние события явно показывают, что не стоит пренебрегать безопасностью своих активов, поэтому для хранения криптовалют лучше использовать кошелек emcd., который предоставляет доступ к удобным сервисам. Пользователи emcd. могут покупать и продавать криптовалюты по наиболее выгодной цене на рынке, пассивно зарабатывать до 13% годовых, а также конвертировать цифровые активы в фиат и мгновенно выводить средства на карты российских и международных банков.
Чтобы получать важную информацию о криптоиндустрии и самые выгодные предложения на рынке - подпишитесь на наш Telegram-канал.