Хакери публічно продемонстрували злом апаратних крипто гаманців 27 грудня було опубліковано відео, в якому команда хакерів показує, як їм вдалося зламати Trezor One, Ledger Nano S і Ledger Blue на конференції 35C3 Refreshing Memories.
Група хакерського проекту «Wallet.fail» складається з розробника Дмитра Недоспасова, розробника програмного забезпечення Томаса Рота і дослідника питань безпеки Джоша Датко.
Під час конференції команда хакерів оголосила, що їм вдалося витягти приватний ключ апаратного гаманця Trezor One після коригування заводської прошивки. Проте вони відзначили, що помилка спрацьовує тільки в тому випадку, якщо користувач не встановив ключову фразу.
Технічний директор SatoshiLabs Павол Руснак вже дав свій коментар в Twitter, що команда Trezor усуне виявлені вразливості оновлення прошивки в кінці січня:
Крім того, та ж група хакерів заявила, що їм вдалося встановити будь-яку прошивку на Ledger Nano S. Хоча команда використовувала цю уразливість лише для того, щоб пограти на пристрої в «Змійку», один з хакерів заявив:
Ми можемо відправити шкідливі транзакції на ST31 [захищений чіп] і навіть самі підтвердити її [програмне забезпечення], ми навіть можемо показати на екрані іншу транзакцію [не ту, яка фактично відправляється].
Команда також продемонструвала, як виявила вразливість в Ledger Blue – найдорожчому апаратному гаманці, виробленому компанією. Хакери пояснили, що сигнали передаються на екран таким чином, що вони утворюють радіохвилі. Коли до пристрою підключено USB-кабель, вищезазначені сигнали стають досить сильними, щоб, на думку дослідників, їх можна було легко брати з кількох метрів. Використовуючи програмне забезпечення штучного інтелекту (AI), команда хакерів змогла отримати пін-код пристрою з цього радіосигналу.
