💬 Разработчик Trezor подтверждает, что закрытые ключи могут быть извлечены, если прошивка повреждена

Разработчик Trezor подтверждает, что закрытые ключи могут быть извлечены, если прошивка повреждена

Разработчик признал, что вредоносное обновление прошивки может «удалить» сид-фразу и записать кодовую фразу устройства Trezor.

Это откровение появилось во время обсуждения на официальном форуме Trezor. Прошло несколько недель после предложения функции восстановления Ledger, которое вызвало еще большую озабоченность по поводу безопасности активов, хранящихся в популярных аппаратных кошельках.

Трезор подтверждение

Разработчик подчеркнул, что, хотя программное обеспечение с открытым исходным кодом позволяет контролировать глобальное сообщество и использовать хэши и подписи для проверки подлинности, эти меры не исключают возможность включения вредоносного кода в официальный выпуск программного обеспечения.

Он сказал:

«Прошивка вашего Trezor должна иметь доступ к закрытым ключам, иначе она не сможет подписывать ваши транзакции. Это означает, что если прошивка станет вредоносной, она может эксфильтровать закрытые ключи. Единственный способ предотвратить это — заморозить устройство, чтобы оно никогда не могло быть обновлено, и молиться, чтобы в замороженной версии уже не было никаких проблем».

«Прошивка вашего Trezor должна иметь доступ к закрытым ключам, иначе она не сможет подписывать ваши транзакции. Это означает, что если прошивка станет вредоносной, она может эксфильтровать закрытые ключи. Единственный способ предотвратить это — заморозить устройство, чтобы оно никогда не могло быть обновлено, и молиться, чтобы в замороженной версии уже не было никаких проблем».

Обеспокоенность, высказанная официальным представителем Trezor, заключается в том, что к тому времени, когда сообщество обнаружит такую ​​вредоносную деятельность, она уже могла нанести значительный ущерб пользователям. Кроме того, существует неопределенность в отношении возможных будущих действий правительства и политики в отношении криптовалют, которые могут повлиять на компании в этой области.

Вам также может понравиться: Поставщики криптокошельков Ledger и Trezor отклоняют претензии о взломе базы данных

Эти комментарии вызвали обеспокоенность у пользователей Trezor, призывающих к большей прозрачности в отношении методов обеспечения безопасности компании. Пользователям было предложено изучить аппаратные кошельки от альтернативных производителей. Trezor подтвердил свою приверженность безопасности и выразил готовность сотрудничать с сообществом для устранения любых потенциальных рисков.

Ledger подвергся критике за предложение функции «Восстановление»

В мае 2023 года Ledger анонсировала «Ledger Recover», чтобы пользователи могли извлекать свои закрытые ключи и хранить их на внешнем сервере. Ledger и стороннему хранителю было поручено хранить закрытые ключи активов.

Несмотря на заверения Ledger в том, что закрытые ключи будут в безопасности, критики заявили, что активы клиентов могут быть скомпрометированы, если сторонний сервер будет скомпрометирован, что поставит под угрозу миллиарды активов.

В то же время критики указали на решение Ledger потребовать от клиентов предоставить удостоверение личности, выданное государством, для доступа к этой функции.

В 2020 году в Ledger произошло нарушение безопасности, в результате которого было украдено более 270 000 физических адресов, принадлежащих их клиентам.

Подробнее: Ledger выходит на институциональное торговое пространство с запуском Tradelink