Altcoins Talks - Cryptocurrency Forum
Local => Форум криптовалют - Криптовалюта => Новости => Topic started by: Bigpat on July 12, 2019, 07:34:50 AM
-
Аппаратные кошельки Trezor можно взломать всего за 5 минут. К такому выводу пришли специалисты из подразделения по информационной безопасности Ledger Donjon.
Сообщается, что при получении физического доступа к устройству злоумышленники могут взломать его всего за 5 минут и получить «сид» кошелька. Этой уязвимости подвержены устройства Trezor One, Trezor T, Keepkey и другие клоны данных аппаратных кошельков. При этом уязвимость невозможно устранить с помощью программных исправлений.
Специалисты по информационной безопасности подчеркнули, что устройства Trezor особенно интересны, ведь они используют прошивку с открытым исходным кодом. Правда, сам по себе чип является проприетарным, а низкоуровневые функции спрятаны в прошивке.
Для получения «сида» злоумышленникам нужен физический доступ к аппаратному кошельку и инструменты стоимостью около $100. При этом взломать устройства можно на любых версиях прошивки, а успех достигается в 100% случаев. Специалисты проверили данный метод взлома на 20 устройствах и во всех случаях смогли получить «сид».
Интересно, что представители Donjon сообщили в Trezor об уязвимости еще в декабре 2018 года, однако до сих пор не получили никакой награды за ее обнаружение. Специалисты по информационной безопасности считают, что разработчики, скорее всего, уже были в курсе о возможности взлома кошельков.
Подробнее: https://letknow.news/news/koshelek-trezor-mozhno-vzlomat-za-pyat-minut-26028.html
-
Есть вероятность, что Трезор особым образом не отреагировал на данную информацию, т.к. предоставила ее конкурирующая компания. Возможно это просто маркетинг и желания избавится от конкурента на рынке.
Это все равно как если бы эксперты бургеркинга в ходе исследования выявили, что бургер бургеркинга вкуснее аналога из макдональдса.
-
Есть вероятность, что Трезор особым образом не отреагировал на данную информацию, т.к. предоставила ее конкурирующая компания. Возможно это просто маркетинг и желания избавится от конкурента на рынке.
Это очень серьезное заявление. Вряд ли проводящяя исследование компания подставила свой престиж только чтобы навредить конкуренту. Trezor бы их засудил по полной за клевету.
Trezor и ранее уже не раз ломали, об этом была информация в инете. Но о такой уязвимости, с помощью которой аппаратный кошелек позволяет получить "сид" в 100% слышу первый раз.
-
Trezor бы их засудил по полной за клевету.
Так почему же Трезор тогда никак не вознаградил или как-то отреагировал?
Расскажу небольшой пример. У нас в стране 3 основных мобильных оператора. Один из них сделал баннерную рекламу в одном из самых популярных и видных место города. Баннер гласил, что Оператор А обладает скоростью мобильного инета Х, в то время как Операторы B и C обладают существенно ниже показателями. Показал все это в виде графиков.
Казалось бы, фактов нет, но рекламный баннер напрямую вредит репутации двум другим. А по правде, Оператор А не лидировал в плане скорости мобильного интернета. Баннер провисел наверно месяц. Никаких судебных исков не было.
-
Trezor бы их засудил по полной за клевету.
Так почему же Трезор тогда никак не вознаградил или как-то отреагировал?
В новости сказано на эту тему следующее: "Специалисты по информационной безопасности считают, что разработчики, скорее всего, уже были в курсе о возможности взлома кошельков."
-
У Ledger видимо, после последних косяков с обновлениями для нано s, упали продажи ;D Больше похоже на борьбу конкурентов, причем это уже не первая попытка Ledger прижать противника к плинтусу )
У самой Ledger нано s и жалею , что в свое время не выбрала Trezor, последнее обновления - это адЪ
А в дыры безопасности Trezor верится с трудом
-
В новости сказано на эту тему следующее: "Специалисты по информационной безопасности считают, что разработчики, скорее всего, уже были в курсе о возможности взлома кошельков."
И вот как можно доверять кошельку или вернее разрабам,если никакой ответственности и не спрашивает с них. Теряйте люди денежки, а мы посмеемся. Противно,прям.
-
"При получении физического доступа к устройству" - это получается Trezor у пользователя должны украсть из дома, так как навряд ли кто-то с ним по улице ходит.
-
"При получении физического доступа к устройству" - это получается Trezor у пользователя должны украсть из дома, так как навряд ли кто-то с ним по улице ходит.
Да, для взлома нужно получить к аппаратному кошельку Trezor физический доступ. Это несколько ограничивает потенциальную опасность, но она от этого не становится безопаснее. И как говорят: "Кто предупрежден тот вооружен".
Не следует носить с собой аппаратные кошельки и тем более "светить" ими перед другими людьми.
-
Trezor и Ledger любят фейкомётить друг в друга. Скорее всего половина подобных новостей - вбросы на фоне жёсткой конкуренции. Если можно взломать за пять минут - так взломайте, что не даёт? Лишь бы громкими заголовками в СМИ пестрить.
-
Неприятная новость, тем более что я тоже планировал приобрести аппаратный кошелек. Возможно если его искользовать не для постоянного использования, а для длительного хранения и хранить в безопасном месте, то никаких проблем не возникнет. Кстати, а могут вирусы получить сид так же просто например когда кошелек вставлен в USB зараженного компьютера?
-
Неприятная новость, тем более что я тоже планировал приобрести аппаратный кошелек. Возможно если его искользовать не для постоянного использования, а для длительного хранения и хранить в безопасном месте, то никаких проблем не возникнет. Кстати, а могут вирусы получить сид так же просто например когда кошелек вставлен в USB зараженного компьютера?
Нет, пока не слышал о подобных вирусах. Дело в том что приватный ключ получить из аппаратного кошелька совсем не просто.
Если интересно, тут можете почитать, как получить приватный ключ из аппаратного кошелька:
Как узнать свои ключи в аппаратном кошельке - https://www.altcoinstalks.com/index.php?topic=50279.
-
Уже не первый раз, за последний год читаю о уязвимости аппаратных кошельков, уже наводит огромные сомнения на счёт всего этого, во первых они не дешёвые, да ещё как говорится в статье взламываются за 5 мин, нет дыма без огня, наверное не буду пользоваться такими устройствами.
-
Очередной сюрприз крипто индустрии) После легализации мы можем больше не увидеть многие компании, которые так себя ведут. А я хотел как то купить кошелек Трезор. С другой стороны, а кто дает свой кошелек не знакомым людям? Электронный хоть взломать не каждый сможет, а вот обычный даже и ломать не надо.
-
Очередной сюрприз крипто индустрии) После легализации мы можем больше не увидеть многие компании, которые так себя ведут. А я хотел как то купить кошелек Трезор. С другой стороны, а кто дает свой кошелек не знакомым людям? Электронный хоть взломать не каждый сможет, а вот обычный даже и ломать не надо.
Все правильно говорите. Если не показывать свой аппаратный кошелек Trezor никому и не оставлять его на виду, то опасаться взлома не нужно.
Всегда требуется внимательность и бдительность при хранении любых крипто активов.
-
Если я правильно помню, то Trezor уже ломали...по крайней мере вспоминаю что читал подобную информацию еще в прошлом году, но деталей конечно не помню, да и искать лень. Как говорили выше, возможно это "маркетинговый" ход всеми известного главного конкурента, ведь войны в этой сфере идут очень серьезные, а выживет только сильнейший. Но конечно очень обидно, что даже холодные кошельки реально сломать...ведь в отличии о дескоптных они стоят денег. Будем наблюдать за новостями, возможно эту информацию скоро опровергнут.
-
Давайте пройдемся по истории взломов аппаратных кошельков Trezor и Ledger:
17.08.17 Хакер продемонстрировал способ взлома аппаратного кошелька Trezor за 15 секунд. Satoshi Labs заявляет, что это провокация - https://ttrcoin.com/haker-prodemonstriroval-sposob-vzloma-apparatnogo-koshelka-trezor-za-15-sekund-satoshi-labs-zayavlyaet-chto-eto-provokaciya.620/
18.08.2017 Взлом Trezor – Устройства не являются безопасными - http://crypto.by/vzlom-trezor-ustrojjstva-ne-yavlyayutsya-bezopasnymi/
30.12.2018 Хакеры нашли уязвимости в кошельке Trezor - https://bytwork.com/news/hakery-nashli-uyazvimosti-v-koshelke-trezor
29.01.19 Как взломать аппаратный криптокошелек - https://www.kaspersky.ru/blog/hardware-wallets-hacked/22183/
2.07.2019 Trezor кошелек: попытка взлома сайта - https://nrr.su/415-trezor-koshelek-popytka-vzloma-sayta.html
8.07.2019 Кошелек Trezor можно взломать за пять минут - https://letknow.news/news/koshelek-trezor-mozhno-vzlomat-za-pyat-minut-26028.html
Итог: взломать можно все что сделано руками человека.
Резюме: берегите свои кошельки и свой криптобаланс и не доверяйте их никому. И все будет хорошо.
-
Уязвимость есть у всего, но специально это афишировать - не красиво со стороны конкурента. Сколько раз за последнее время пользователей жаловались на взломы? Я особо в сети такого не видел. А сколько раз сливались данные с Фейсбук? Очень много, но репутация социальной сети практически не пострадал. Более того, Libra это полностью компенсировала. Что касается Trezor, то таким способом, который представлен в статье, сломают Trezor, разве что хакеры, а не простые пользователи.
-
Хотел я когда то взять Trezor, но все же взял Ledger. То что взламывают Trezor 5 минут и $100 это кончено большой минус для Trezor-а.
Хотя любой кошелек можно взломать по методу НКВД за 1-2 минуты и 10-20$(стоимость паяльника) ;) так что в любом случае хоть какой то кошель физический лучше иметь чем запись на бумажке или харде.
-
Уязвимость есть у всего, но специально это афишировать - не красиво со стороны конкурента.
В конкуренции все методы хороши, особенно если конкурент дает на это поводы. Вся эта информация подействует разве что на новичков в криптосфере, "старички" уже привыкли, что леджер и трезор систематически поливают друг друга грязью копаются в поисках дыр в безопасности чужих кошельков.