В исследованиях принимали участие кошельки Trezor и Ledger, как самые известные из ряда аппаратных средств для хранения криптовалюты. Все главные активы, которые расположены в элементе безопасности, надежно защищены.

На конференции 35C3 Refreshing Memories, которая прошла в Берлине, ученые сообщили о возможности взлома аппаратных кошельков Ledger Trezor One, Ledger Nano S и Ledger Blue. Обстоятельств для беспокойства нет: «ваши криптовалютные активы по-прежнему находятся в безопасности», — говорится в блоге Ledger.

Тем не менее создатели Ledger назвали «непрактичной» физическую модификацию кошелька Ledger Nano S с последующей установкой вредоносного ПО на компьютер жертвы и возможностью подписания транзакций после ввода PIN-кода. Но уточнили, что схема работает, ежели пользователь не установил собственный пароль.

Другой сценарий, где ученые установили свою прошивку на микропроцессор, действительно позволяет перевести устройство в режим отладки, отмечает Ledger, добавляя, что этим возможности предполагаемого правонарушителя, скорее всего, ограничиваются.

Ученые подчеркнули, что освободиться от некоторых уязвимостей можно благодаря обновлению прошивки либо замене микроконтроллеров. По мнению Ledger, такой сценарий действительно позволяет перевести устройство в режим отладки, но этим возможности предполагаемого правонарушителя, скорее всего, ограничиваются.

По утверждению Ledger, профессионалы Wallet.Fail не выявили действительных уязвимостей и криптовалютные активы пользователей в безопасности.

Подобным образом создатели комментируют извлечение PIN-кода из устройства Ledger Blue с помощью атаки типа «контролируемое машинное обучение». В кошельке Ledger Blue также удалось открыть символы PIN-кода.