A Ledger é uma empresa iniciada em 2014 e atua no desenvolvimento de soluções de segurança e infraestrutura para criptomoedas , a Trezor, sua principal concorrente, foi criada pela Satoshi Labs em 2013.
A fabricante de carteiras de hardware Ledger publicou um relatório nesta segunda-feira, 11 de março, demonstrando as vulnerabilidades da sua concorrente Trezor.
Em seu artigo, a empresa afirma que os estudos foram feitos no Laboratório de Ataques da própria equipe de segurança mundial da Ledger e é nesse laboratório em que são criados e testados os dispositivos da própria Ledger, assim como os de seus concorrentes, com o intuito de expor possíveis. vulnerabilidades.
O relatório apontou as seguintes vulnerabilidades:
- Genuinidade do dispositivo
O laboratório afirmou que fabricou um dispositivo falso e que é um clone exato com os mesmos componentes, arquitetura de hardware, mesma aparência e sensação. A equipe também conseguiu abrir a caixa e depois selar novamente mesmo sendo um adesivo “à prova de adulteração”.
O que a Trezor falou sobre isso?
A vulnerabilidade foi reportada à Trezor e eles afirmaram estar fora de seu modelo de segurança, alegando que o usuário estará fora de perigo de hacker se comprar diretamente do site da empresa.
- Segurança do PIN
Advinhando o código do PIN
A equipe falou sobre o problema:
“Nossa análise de segurança descobriu que, em um dispositivo encontrado ou roubado, é possível adivinhar o valor do PIN usando um ataque de canal lateral. Este Side Channel Attack consiste em apresentar um PIN aleatório e depois medir o consumo de energia do dispositivo quando compara o PIN apresentado com o valor real do PIN. Essa medida permite que um invasor recupere o valor correto do PIN em apenas algumas tentativas (menos de 5 no nosso caso). Descobrimos que o PIN não protege os fundos contra um invasor com acesso físico ao dispositivo. “
O que a Trezor falou sobre isso?
O problema foi apresentado no dia 20/11 e foi resolvido com a atualização de firmware 1.8.0.
- Confidencialidade dos dados dentro do dispositivo (Trezor One e Trezor T)
Depois de fazer uma análise, a equipe do laboratório descobriu que um invasor com acesso físico a carteira pode extrair todos os dados armazenados na memória.
O que a Trezor falou sobre isso?
A Trezor ainda não comentou sobre, mas a equipe da Ledger comentou que essa vulnerabilidade não pode ser corrigida, apenas melhorada pelo design e por um de seus componentes.
- Análise da criptografia
Neste quesito, foi analisado a implementação da biblioteca de criptografia do Trezor One, a equipe explicou:
“Nossa análise de segurança descobriu que um invasor com acesso físico ao dispositivo pode extrair a chave secreta usando ataques de canal lateral quando essa chave é usada pela multiplicação escalar. A multiplicação escalar é uma das principais funções da criptografia em criptomoedas. Em particular, esta é a função principal para assinar transações. Provamos que, com um osciloscópio digital e algumas medições, é possível extrair a chave de uma transação usando a análise de canal lateral.”
O que a Trezor falou sobre isso?
A vulnerabilidade foi reportada, mas a Trezor não falou sobre ainda.
Confira a apresentação completa apresentada pelo chefe de segurança da ledger, Charles Guillemet:
A Trezor não comentou sobre o relatório publicado até a publicação desse artigo.
Leia também: Trezor lança coleção de carteiras de criptomoedas de luxo