Trezor и Ledger ответили на информацию об уязвимости их аппаратных кошельков

Разработчики аппаратных кошельков Trezor и Ledger опубликовали официальные ответы на сообщения об уязвимости их устройств. Ранее серию демонстрационных атак на их кошельки совершила команда исследователей Wallet.Fail. В частности, киберспециалистам удалось извлечь PIN-коды кошельков, взломать загрузчик Ledger Nano S и дистанционно подписать транзакцию. https://twitter.com/LedgerHQ/status/1078617784932798464 По словам Ledger, специалисты Wallet.Fail не выявили действительных уязвимостей и криптовалютные активы пользователей в безопасности. Во время демонстрационных атак кошелек физически модифицировали и установили на него вредоносное ПО для дистанционного подтверждения транзакции. Такой сценарий возможен в теории, но маловероятен на практике, заявили в Ledger. Также компания обвинила Wallet.Fail в публичном раскрытии информации об уязвимости, вместо того, чтобы передать эти сведения производителю. https://twitter.com/Trezor/status/1078625433694937088 В свою очередь производитель кошельков Trezor признал возможную уязвимость, но лишь в случае, если у хакера есть физический доступ к устройству, в частности к его плате. Если пользователь остерегается такой угрозы, то может включить функцию «ключевой фразы», однако утрата этой фразы приведет к потере средств. Ранее Trezor сообщила о появлении мошеннических копий криптокошелька Trezor One. В компании заявили, что они не пригодны для хранения цифровых активов.