Реальність безпеки апаратного гаманця: що вам потрібно знати

Простір криптоапаратних гаманців тільки став більш заплутаним. Дослідницька команда Ledger (Ledger Donjon) виявила вразливість мікроконтролера в моделях Safe 3 і 5 від Trezor, яка потенційно дозволяє просунутим зловмисникам виконувати криптографічні операції безпосередньо на чіпі — обходячи деякі з рівнів безпеки Trezor.

Ось що насправді важливо:

Проблема: Хоча Trezor має захищені елементи (, спеціалізовані чіпи, що захищають PIN-коди та крипто-ключі ), дослідники виявили, що зловмисники теоретично могли маніпулювати мікроконтролером, щоб викликати небажані операції. Перевірка цілісності прошивки Trezor була недостатньою, щоб це зупинити.

Фікс (Sorta): Trezor стверджує, що вони виправили це, але жодна з компаній не говорить точно як. Коли запитали, чи може оновлення прошивки це вирішити, Trezor в основному відповів “ні” — що означає, що проблема вимагала змін на апаратному рівні, а не програмних патчів.

Офіційна позиція Trezor: Кошти користувачів залишаються в безпеці. Дій не потрібно. Купуйте у офіційних джерел.

Неприємна частина: Це не просто проблема Trezor. Ledger також зазнав удару двічі — у 2023 році злом забрав $484K у криптовалюті, а у 2020 році злом розкрив 270 тис. адрес електронної пошти клієнтів. Вся індустрія апаратних гаманців займається безпекою, як у грі “удар по молотку”.

Висновок: Якщо ви є власником Trezor Safe 3/5, ваші кошти не під загрозою у короткостроковій перспективі (атака вимагає фізичного доступу + серйозних технічних навичок), але це нагадування про те, що жодна система не є 100% незахищеною. Мульти-шарова оборона має значення. І купівля у офіційних роздрібних продавців не є необов'язковою — це обов'язково.