В Trezor и Ledger обнаружены уязвимости

[Alex077]

Команде исследователей из проекта Wallet.fail удалось взломать аппаратные криптовалютные кошельки Trezor One, Ledger Nano S и Ledger Blue, используя уязвимость в прошивке устройств. Результаты эксперимента опубликованы на сайте Media.ccc.

В ходе конференции 35C3 Refreshing Memories члены исследовательской команды Дмитрий Недоспасов, Томас Рот и Джош Датко смогли получить доступ к личному ключу от криптокошельков с помощью перепрошивки устройств, однако, по их словам, эту уязвимость можно использовать только в том случае, если пользователь не установил фразу-пароль.

Сотрудникам Wallet.fail удалось установить на аппаратный кошелек Ledger Nano S игру "Змейка" в качестве демонстрации низкого уровня безопасности устройства. Один из исследователей заявил, что они могут подтвердить выполнение транзакций и даже вывести несуществующий денежный перевод на экран устройства. В Ledger Blue, самом дорогом аппаратном кошельке от компании Ledger, материнская плата передает сигналы на дисплей слишком медленно. Когда устройство подключается к компьютеру через USB кабель, радиоволны становятся мощнее, и их можно перехватить на расстоянии несколько метров...https://bit.news/news/v-apparatnyh-kriptokoshelkah-ot-trezor-i-ledger-obnaruzheny-uyazvimosti

[Grattis]

Команде исследователей из проекта Wallet.fail удалось взломать аппаратные криптовалютные кошельки Trezor One, Ledger Nano S и Ledger Blue, используя уязвимость в прошивке устройств. Результаты эксперимента опубликованы на сайте Media.ccc.

В ходе конференции 35C3 Refreshing Memories члены исследовательской команды Дмитрий Недоспасов, Томас Рот и Джош Датко смогли получить доступ к личному ключу от криптокошельков с помощью перепрошивки устройств, однако, по их словам, эту уязвимость можно использовать только в том случае, если пользователь не установил фразу-пароль.

Сотрудникам Wallet.fail удалось установить на аппаратный кошелек Ledger Nano S игру "Змейка" в качестве демонстрации низкого уровня безопасности устройства. Один из исследователей заявил, что они могут подтвердить выполнение транзакций и даже вывести несуществующий денежный перевод на экран устройства. В Ledger Blue, самом дорогом аппаратном кошельке от компании Ledger, материнская плата передает сигналы на дисплей слишком медленно. Когда устройство подключается к компьютеру через USB кабель, радиоволны становятся мощнее, и их можно перехватить на расстоянии несколько метров...https://bit.news/news/v-apparatnyh-kriptokoshelkah-ot-trezor-i-ledger-obnaruzheny-uyazvimosti

Ну то, что они установили змейку не значит что они могут вытащить зашифрованный приватный ключ. Если взять любое устройство разобрать на части, то любая из этих частей будет работоспособная и рабочая и сможет делать то, для чего она предназначена. Скажем монитор выводит картинку, чип памяти записывает и читает информацию и так далее.
 Взлом кошелька это когда крадут крипту без ведома владельца и это нужно подтвердить транзакцией а не змейкой на экране.

[start77.77]

Ну то, что они установили змейку не значит что они могут вытащить зашифрованный приватный ключ. Если взять любое устройство разобрать на части, то любая из этих частей будет работоспособная и рабочая и сможет делать то, для чего она предназначена. Скажем монитор выводит картинку, чип памяти записывает и читает информацию и так далее.
 Взлом кошелька это когда крадут крипту без ведома владельца и это нужно подтвердить транзакцией а не змейкой на экране.

Так сказано ведь "смогли получить доступ к личному ключу от криптокошельков с помощью перепрошивки устройств", дальше остается уже дело за малым. Хорошо, что эти уязвимости выявили такие исследователи, не преследующие цели личной наживы.

[EdvinZ]

Написано, что найденную уязвимость можно использовать только в том случае, если пользователь не установил фразу-пароль. Получается, что если пользователь установит все рекомендуемые настройки, то эта уязвимость не будет актуальной. 

[Guildenstern89]

Наверняка исследователи получат благодарственные баксы по производителей аппаратных кошельков за помощь в поиске "багов". А через пару месяцев уязвимости будут устранены и кошельки станут ещё безопаснее.

[Melnik]

ну то есть в сухом остатке, ничего не взломали, а лишь продемонстрировали нечто, не имеющее к реальной жизни никакого отношения.
аппаратные кошельки по-прежнему надёжны.
расходимся.

[chrissland]

Да но при всем этом если использовать все степени защиты то оба эти продукта являются по прежнему не уязвимы и на сегодняшний день являются лучшими в своем классе.

[Suicide101]

Конечно если не использовать всю степень безапастности то жди беды но в целом сама система безупречна и уж точно лучшего на сегодняшний день еще ничего не придумали.

[aad140386]

Ну, во всяком случае пока данные холодные кошельки остаются самым надежным способом хранения крипты. И за ними за все время не было массовых косяков. Надеюсь, что они учтут эти проблемы и исправят их. Тем более, что эти компании постоянно работают над улучшением безопасности. Кстати, насколько мне известно, в течении года может появиться еще один холодный кошелек Spatium. Они заявляют, что их крипто-кошелек будет самым надежным в мире. Сейчас они проводят ICO и к ним даже приежал Балина в Киев. Я читал инфу о них на сайте, мне показался проект интересным.

[serggg]

Уязвимость устранят. В любом случае это хорошие кошельки по хорошей цене. Не зря они стали такими популярными.

[happykolosok]

Уязвимость устранят. В любом случае это хорошие кошельки по хорошей цене. Не зря они стали такими популярными.

Там без вариантов ведь лучшего на рынке просто нет да и эта проблема на самом деле больше надуманная просто недоразумение.

[Dik100]

Уязвимость устранят. В любом случае это хорошие кошельки по хорошей цене. Не зря они стали такими популярными.

Там без вариантов ведь лучшего на рынке просто нет да и эта проблема на самом деле больше надуманная просто недоразумение.

Почему проблема надуманая если они сами подтвердили её и начели решать проблемы  и решили проблему.
А вот если бы у кого то ушли средства с кошелька это  было бы проблемы.

[Dan Yur]

ну то есть в сухом остатке, ничего не взломали, а лишь продемонстрировали нечто, не имеющее к реальной жизни никакого отношения.
аппаратные кошельки по-прежнему надёжны.
расходимся.

Согласен, очередной тупой вброс от прыщавых обсосков решивших засветить свои никчемные рожи. Нет ни одного реального подтверждения увода средств с криптовалютных кошельков без применения паяльника и клещей

[CryptoGosu]

Я думаю что аппаратным кошелькам есть куда развиваться это только лишь заставит производителей делать лучше кошельки.

[BotanicKilt]

Развели FUD из ничего, там такая уязвимость, что проще на камеру записать набор пин кода.

[101nowby]

Аппаратные кошельки мне не нравятся лишь тем, что сервера эти где-то ,и возможно что они могут быть скомпрометированы, а следовательно есть возможность утраты ваших средств

[HuHulk]

Хорошо, что нашли эти уязвимости. Сейчас разработчики устранять их и кошельки снова будут неуязвимы перед хакерами

[Resumean]

Аппаратные кошельки мне не нравятся лишь тем, что сервера эти где-то ,и возможно что они могут быть скомпрометированы, а следовательно есть возможность утраты ваших средств

Сервер не имеет никакого отношения к безопасности. Из кошельков можно достать ключи и пользоваться любым другим кошельком.

[Evgenklm]

Конечно удивлен, думал самые безопасные кошельки Trezor и Ledger, как оказывается не очень.Надеюсь разрабы примут меры и устранят эту уязвимость, хотел в будущем обзовестить аппаратным кошелем.

[BOMG]

Пользуюсь Trezor пока вопросов не возникало, думаю разрабы тоже не стоят на месте и все эти нюансы учитывают при новых обновлениях