La contabilità generale evidenzia cinque possibili vulnerabilità nei portafogli hardware Trezor. Ledger, uno sviluppatore leader di portafogli hardware, ha preso la mira al principale concorrente Trezor pubblicando un report che evidenzia cinque vulnerabilità nei prodotti Trezor.
Ledger ha caricato un rapporto sulla sicurezza sul suo sito web affermando di credere di avere la responsabilità di “migliorare la sicurezza in tutto l'ecosistema blockchain quando possibile”.
In particolare, Ledger ha evidenziato cinque vulnerabilità nei prodotti Trezor. Il Ledger afferma di aver contattato Trezor per le questioni quattro mesi fa, affermando: “Abbiamo divulgato responsabilmente queste vulnerabilità al fornitore, consentendo loro di adottare misure appropriate per proteggere i propri utenti.
“Ora che il periodo di divulgazione responsabile, comprese due proroghe, è scaduto, abbiamo voluto condividere i dettagli con voi in uno spirito di piena consapevolezza e trasparenza.”
I modelli Trezor in questione sono Trezor One e Trezor T.
Vulnerabilità 1
Il primo problema Ledger trovato relativo alla genuinità del dispositivo Trezor - afferma che possono essere imitati. Ledger è stato in grado di produrre dispositivi falsi.
Accanto a ciò, ha rilevato che il prodotto Trezor può essere aperto, inserire una “backdoor” ed essere nuovamente sigillato.
Vulnerabilità 2
La seconda vulnerabilità rilevata da Ledger riguarda il codice PIN. Ha scoperto che è possibile indovinare il valore del pin utilizzando un attacco canale laterale.
Un attacco a canale laterale consiste nel presentare un numero di pin casuale e quindi misurare il consumo energetico del dispositivo quando confronta il pin presentato con il valore effettivo del pin.
La contabilità generale afferma di aver incrinato il pin in meno di 5 tentativi utilizzando questo metodo.
Trezor ha tuttavia modificato questa vulnerabilità nell'aggiornamento del firmware 1.8.0.
Vulnerabilità 3 e 4
La terza e la quarta vulnerabilità si applicano sia a Trezor One che a Trezor T. Ledger afferma che la riservatezza dei dati all'interno dei dispositivi non è sicura.
Ha scoperto che un utente malintenzionato con accesso fisico ai dispositivi può estrarre tutti i dati memorizzati nella memoria flash. Gli aggressori possono quindi esaurire tutte le risorse dagli account dell'utente.
CoGe non ritiene che questo problema possa essere patch. Crede che possa essere eluso solo revisionando il progetto per incorporare un Chip Elemento Sicuro. Ciò comporterebbe la sostituzione di un chip per uso generale già implementato.
Vulnerabilità 5
Ledger ha anche scoperto che potrebbe estrarre una chiave privata utilizzando attacchi di canale laterale se la chiave utilizza la moltiplicazione scalare.
La moltiplicazione scalare è una funzione principale nella crittografia. In particolare, Ledger nota che è la funzione principale per la firma delle transazioni.
Utilizzando un oscilloscopio digitale accanto ad alcune altre misurazioni, Ledger è stato in grado di estrarre la chiave di una transazione utilizzando l'analisi del canale laterale.
Ledger ha segnalato questo problema a Trezor, che può essere patch, ma ha anche notato come non influisce direttamente sul modello di sicurezza di Trezor. Questo perché l'operazione non può essere attivata senza conoscere in anticipo il pin del dispositivo.
Dichiarazione ufficiale di Trezor
Trezor ha rilasciato la sua dichiarazione ufficiale sulle accuse.
La società sostiene che mentre Ledger ha riferito e comunicare con esso sulle vulnerabilità sospette, “alcuni dei fatti sono rappresentati in modo diverso”, il che ha portato a “un'interpretazione allarmista delle vulnerabilità”.
Trezor ha dichiarato che gli attacchi della supply chain colpiscono tutto l'hardware nel trasporto e che non esiste una “soluzione al 100%”, oltre a notare “tutte le aziende hanno metodi diversi per mitigare questo”.
L'azienda sostiene che l'attacco pin canale laterale è stato rattoppato.
Trezor ha anche risposto all'accusa di moltiplicazione scalare affermando che è “non sfruttabile” poiché è richiesto un pin.
Commenta anche come “nessuno di questi attacchi sia sfruttabile a distanza. Tutti i vettori di attacco dimostrati richiedono l'accesso fisico al dispositivo, attrezzature specializzate, tempo e competenze tecniche ".
Sei interessato a leggere di più sui portafogli di criptovaluta? Scopri i pro e i contro dei migliori portafogli crittografici disponibili.
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.