Майнинг Криптовалюты

Разработки Ledger ответили на информацию о возможности взлома их кошельков

Аппаратный криптовалютный кошелек Ledger

Производитель популярных аппаратных кошельков для хранения криптовалют Ledger отреагировал на презентацию команды wallet.fail, заявившей о выявлении нескольких векторов атак на его устройства.

«Им не удалось извлечь PIN-код или seed-фразу из похищенного устройства. Все критически значимые активы, находящиеся в элементе безопасности, защищены, – пишет компания.

Не беспокойтесь, ваши криптовалютные активы по-прежнему в безопасности».

В частности, физическую модификацию кошелька Ledger Nano S с последующей установкой вредоносного ПО на компьютер жертвы и возможностью подписания транзакций после ввода PIN-кода они называют «непрактичной».

Согласно утверждению компании, получение физического доступа к устройству и установка вредоносного ПО на компьютер жертвы – это слишком сложная процедура, которая к тому же требует от хакера ожидать инициации транзакции самим пользователем, поэтому вряд ли кто-то возьмётся за его реализацию. В то же время, они не отрицают, что это возможно.

Другой сценарий, где исследователи установили собственную прошивку на микропроцессор, действительно позволяет перевести устройство в режим отладки, отмечает Ledger, добавляя, что этим возможности предполагаемого злоумышленника, скорее всего, ограничиваются.

«Они заявили, что выявили способ обхода проверки микропроцессора, но не показали, как использовался сам баг».

Аналогичным образом разработчики комментируют извлечение PIN-кода из устройства Ledger Blue при помощи атаки типа «контролируемое машинное обучение».

«Эта атака, определённо, очень интересна, он она не позволяет извлечь PIN-код в реальных условиях, – пишет компания.

Для решения проблемы нами уже была внедрена рандомизированная клавиатура, с помощью которой осуществляется ввод PIN-кода. Опять же, проще установить камеру, чтобы зафиксировать PIN-код, когда его вводит пользователь».

Также Ledger раскритиковал команду wallet.fail за то, что они решили публично показать уязвимости их устройств на конференции, а не прибегли к программе по отлову багов, предусмотренной для таких случаев.

«Мы считаем, что их заключения не говорят о наличии каких-либо уязвимостей, пригодных для применения на практике», – добавляет компания.

Поделитесь вашим мнением по данному вопросу в комментариях ниже.


The following two tabs change content below.
Mining-Cryptocurrency.ru
Материал подготовлен редакцией сайта "Майнинг Криптовалюты", в составе: Главный редактор - Антон Сизов, Журналисты - Игорь Лосев, Виталий Воронов, Дмитрий Марков, Елена Карпина. Мы предоставляем самую актуальную информацию о рынке криптовалют, майнинге и технологии блокчейн. Отказ от ответственности: все материалы на сайте Mining-Cryptocurrency.ru имеют исключительно информативные цели и не являются торговой рекомендацией или публичной офертой к покупке каких-либо криптовалют или осуществлению любых иных инвестиций и финансовых операций.
Exit mobile version