Ledger hebt fünf mögliche Schwachstellen in Trezor Hardware-Wallets hervor. Ledger, ein führender Hardware-Wallet Entwickler, hat sich auf den Hauptkonkurrent Trezor gesetzt, indem er einen Bericht veröffentlicht hat, der fünf Schwachstellen in Trezor-Produkten hervorhebt.
Ledger hat einen Sicherheitsbericht auf seine Website hochgeladen, der behauptet, dass es eine Verantwortung hat, „die Sicherheit im gesamten Blockchain-Ökosystem zu verbessern, wann immer möglich“.
Insbesondere hat Ledger fünf Schwachstellen in Trezor-Produkten hervorgehoben. Ledger behauptet, Trezor über die Probleme vor vier Monaten kontaktiert zu haben und erklärt: „Wir haben diese Schwachstellen dem Anbieter verantwortungsvoll offengelegt, sodass er geeignete Maßnahmen zum Schutz seiner Nutzer ergreifen konnte.
„Nachdem die verantwortungsvolle Offenlegungsfrist, einschließlich zwei Erweiterungen, abgelaufen ist, wollten wir Ihnen die Details im Geiste des vollen Bewusstseins und der Transparenz mitteilen.“
Die Trezor-Modelle sind Trezor One und Trezor T.
Schwachstelle 1
Die erste Ausgabe Ledger fand im Zusammenhang mit der Echtheit des Trezor-Geräts - es behauptet, dass sie imitiert werden können. Ledger war in der Lage, gefälschte Geräte herzustellen.
Daneben stellte sie fest, dass das Trezor-Produkt geöffnet werden kann, eine „Hintertür“ eingelegt und wieder versiegelt werden kann.
Sicherheitsanfälligkeit 2
Die zweite von Ledger gefundene Schwachstelle war in Bezug auf den PIN-Code. Es stellte fest, dass es möglich ist, den Wert des Pins mit einem Seitenkanalangriff zu erraten.
Ein Seitenkanalangriff besteht darin, eine zufällige Pin-Nummer darzustellen und dann den Stromverbrauch des Geräts zu messen, wenn er den vorgestellten Pin mit dem tatsächlichen Wert des Stiftes vergleicht.
Ledger behauptet, den Stift in weniger als 5 Versuchen mit dieser Methode geknackt zu haben.
Trezor hat diese Sicherheitsanfälligkeit jedoch im Firmware-Update 1.8.0 gepatcht.
Schwachstellen 3 und 4
Die dritte und vierte Schwachstelle gilt sowohl für Trezor One als auch für Trezor T. Ledger behauptet, dass die Vertraulichkeit der Daten innerhalb der Geräte nicht sicher ist.
Es stellte fest, dass ein Angreifer mit physischem Zugriff auf die Geräte alle im Flash-Speicher gespeicherten Daten extrahieren kann. Angreifer können dann alle Assets aus den Konten des Benutzers erschöpfen.
Ledger glaubt nicht, dass dieses Problem gepatcht werden kann. Es glaubt, dass es nur durch Überarbeitung des Designs umgangen werden kann, um einen Secure Element Chip zu integrieren. Dies würde bedeuten, einen bereits implementierten allgemeinen Chip zu ersetzen.
Sicherheitsanfälligkeit 5
Ledger entdeckte auch, dass es einen privaten Schlüssel mithilfe von Seitenkanalangriffen extrahieren könnte, wenn der Schlüssel Skalarmultiplikation verwendet.
Skalare Multiplikation ist eine Kernfunktion in der Kryptographie. Insbesondere, Ledger merkt, dass es die Kernfunktion für das Signieren von Transaktionen ist.
Mit Hilfe eines digitalen Oszilloskop neben einigen anderen Messungen konnte Ledger den Schlüssel einer Transaktion mittels Seitenkanalanalyse extrahieren.
Ledger hat dieses Problem Trezor gemeldet - das gepatcht werden kann - aber auch festgestellt, dass es sich nicht direkt auf das Sicherheitsmodell von Trezor auswirkt. Dies liegt daran, dass der Vorgang nicht ausgelöst werden kann, ohne vorher den Pin des Geräts zu kennen.
Offizielle Erklärung von Trezor
Trezor hat seine offizielle Erklärung zu den Vorwürfen veröffentlicht.
Das Unternehmen behauptet, dass Ledger zwar über die mutmaßlichen Schwachstellen berichtet und mit ihm kommuniziert habe, „einige der Tatsachen seien anders dargestellt“, was zu einer „alarmistischen Interpretation der Schwachstellen“ geführt hat.
Trezor hat erklärt, dass Supply-Chain-Angriffe alle Hardware im Transport betreffen und dass es keine „100% -ige Lösung“ gibt, sowie dass „alle Unternehmen unterschiedliche Methoden haben, um dies zu mildern“.
Das Unternehmen behauptet, dass der seitliche Kanal-Pin-Angriff gepatcht wurde.
Trezor hat auch auf die Scalar Multiplication Behauptung reagiert, dass es „nicht ausnutzbar“ ist, da ein Stift benötigt wird.
Es kommentiert auch, wie „keiner dieser Angriffe aus der Ferne ausgenutzt werden kann. Alle demonstrierten Angriffsvektoren erfordern physischen Zugriff auf das Gerät, spezialisierte Ausrüstung, Zeit und technisches Fachwissen.
Möchten Sie mehr über Kryptowährungen lesen? Entdecken Sie die Vor- und Nachteile der besten verfügbaren Krypto-Wallets.
Las Vegas, US, 1st November 2024, Chainwire
From digital art to real-estate assets, NFTs have become a significant attraction for investors who…
Singapore, Singapore, 21st October 2024, Chainwire
HO CHI MINH, Vietnam, 17th October 2024, Chainwire
London, UK, 16th October 2024, Chainwire
Sinagpore, Singapore, 16th October 2024, Chainwire