Wallets

La contabilità generale evidenzia cinque possibili vulnerabilità nei portafogli hardware Trezor

La contabilità generale evidenzia cinque possibili vulnerabilità nei portafogli hardware Trezor. Ledger, uno sviluppatore leader di portafogli hardware, ha preso la mira al principale concorrente Trezor pubblicando un report che evidenzia cinque vulnerabilità nei prodotti Trezor.
Ledger ha caricato un rapporto sulla sicurezza sul suo sito web affermando di credere di avere la responsabilità di “migliorare la sicurezza in tutto l'ecosistema blockchain quando possibile”.
In particolare, Ledger ha evidenziato cinque vulnerabilità nei prodotti Trezor. Il Ledger afferma di aver contattato Trezor per le questioni quattro mesi fa, affermando: “Abbiamo divulgato responsabilmente queste vulnerabilità al fornitore, consentendo loro di adottare misure appropriate per proteggere i propri utenti.
“Ora che il periodo di divulgazione responsabile, comprese due proroghe, è scaduto, abbiamo voluto condividere i dettagli con voi in uno spirito di piena consapevolezza e trasparenza.”
I modelli Trezor in questione sono Trezor One e Trezor T.
Vulnerabilità 1
Il primo problema Ledger trovato relativo alla genuinità del dispositivo Trezor - afferma che possono essere imitati. Ledger è stato in grado di produrre dispositivi falsi.
Accanto a ciò, ha rilevato che il prodotto Trezor può essere aperto, inserire una “backdoor” ed essere nuovamente sigillato.
Vulnerabilità 2
La seconda vulnerabilità rilevata da Ledger riguarda il codice PIN. Ha scoperto che è possibile indovinare il valore del pin utilizzando un attacco canale laterale.
Un attacco a canale laterale consiste nel presentare un numero di pin casuale e quindi misurare il consumo energetico del dispositivo quando confronta il pin presentato con il valore effettivo del pin.
La contabilità generale afferma di aver incrinato il pin in meno di 5 tentativi utilizzando questo metodo.
Trezor ha tuttavia modificato questa vulnerabilità nell'aggiornamento del firmware 1.8.0.
Vulnerabilità 3 e 4
La terza e la quarta vulnerabilità si applicano sia a Trezor One che a Trezor T. Ledger afferma che la riservatezza dei dati all'interno dei dispositivi non è sicura.
Ha scoperto che un utente malintenzionato con accesso fisico ai dispositivi può estrarre tutti i dati memorizzati nella memoria flash. Gli aggressori possono quindi esaurire tutte le risorse dagli account dell'utente.
CoGe non ritiene che questo problema possa essere patch. Crede che possa essere eluso solo revisionando il progetto per incorporare un Chip Elemento Sicuro. Ciò comporterebbe la sostituzione di un chip per uso generale già implementato.
Vulnerabilità 5
Ledger ha anche scoperto che potrebbe estrarre una chiave privata utilizzando attacchi di canale laterale se la chiave utilizza la moltiplicazione scalare.
La moltiplicazione scalare è una funzione principale nella crittografia. In particolare, Ledger nota che è la funzione principale per la firma delle transazioni.
Utilizzando un oscilloscopio digitale accanto ad alcune altre misurazioni, Ledger è stato in grado di estrarre la chiave di una transazione utilizzando l'analisi del canale laterale.
Ledger ha segnalato questo problema a Trezor, che può essere patch, ma ha anche notato come non influisce direttamente sul modello di sicurezza di Trezor. Questo perché l'operazione non può essere attivata senza conoscere in anticipo il pin del dispositivo.
Dichiarazione ufficiale di Trezor
Trezor ha rilasciato la sua dichiarazione ufficiale sulle accuse.
La società sostiene che mentre Ledger ha riferito e comunicare con esso sulle vulnerabilità sospette, “alcuni dei fatti sono rappresentati in modo diverso”, il che ha portato a “un'interpretazione allarmista delle vulnerabilità”.
Trezor ha dichiarato che gli attacchi della supply chain colpiscono tutto l'hardware nel trasporto e che non esiste una “soluzione al 100%”, oltre a notare “tutte le aziende hanno metodi diversi per mitigare questo”.
L'azienda sostiene che l'attacco pin canale laterale è stato rattoppato.
Trezor ha anche risposto all'accusa di moltiplicazione scalare affermando che è “non sfruttabile” poiché è richiesto un pin.
Commenta anche come “nessuno di questi attacchi sia sfruttabile a distanza. Tutti i vettori di attacco dimostrati richiedono l'accesso fisico al dispositivo, attrezzature specializzate, tempo e competenze tecniche ".
Sei interessato a leggere di più sui portafogli di criptovaluta? Scopri i pro e i contro dei migliori portafogli crittografici disponibili.

Jordan Heal

Jordan is an English Literature graduate fresh out of Lancaster University with a keen passion for writing. Whilst not having a wealth of background into the world of cryptocurrency, he’s extremely motivated to learn the ropes and become apart of the movement. In general, he’s a huge fan of narratives, whether it be books, t.v., films or games.

Disqus Comments Loading...

Recent Posts

Here is why Bitcoin is still a lucrative investment in 2024

Those who enter the market at this time may be surprised to hear that Bitcoin…

4 weeks ago

Zircuit Launches ZRC Token: Pioneering the Next Era of Decentralized Finance

George Town, Grand Cayman, 22nd November 2024, Chainwire

4 weeks ago

The surge of Bitcoin NFTs: Everything you should know about Bitcoin ordinals

From digital art to real-estate assets, NFTs have become a significant attraction for investors who…

2 months ago

MEXC Partners with Aptos to Launch Events Featuring a 1.5 Million USDT Prize Pool

Singapore, Singapore, 21st October 2024, Chainwire

2 months ago