A Trezor resolveu uma falha de segurança em suas carteiras de hardware Safe 3 e Safe 5 após uma divulgação da rival Ledger, que descobriu uma maneira de contornar algumas das contramedidas existentes da Trezor contra ataques à cadeia de suprimentos.
Trezor responde às descobertas de segurança da Ledger
O provedor de carteira de hardware Trezor abordou uma vulnerabilidade em seus modelos Safe 3 e Safe 5 depois que uma revisão de segurança pela equipe de Donjon da Ledger expôs possíveis fraquezas na arquitetura de dois chips dos dispositivos. A falha, descrita como uma ameaça "teórica", só poderia ser explorada através de ataques complexos à cadeia de abastecimento física, provavelmente afetando dispositivos em segunda ou terceira mão.
A vulnerabilidade veio à tona depois que a Ledger compartilhou suas descobertas com a Trezor, levando a uma divulgação pública por esta última em 5 de março
Trezor afirmou em X.com,
"A Ledger Donjon avaliou recentemente nossa família Trezor Safe e reutilizou com sucesso um ataque anteriormente conhecido para demonstrar como algumas contramedidas contra ataques à cadeia de suprimentos no Trezor Safe 3 podem ser contornadas."
Ignorando as proteções da cadeia de suprimentos
De acordo com o relatório de 12 de março da Ledger, sua equipe de pesquisa de segurança da Donjon conseguiu reutilizar um método de ataque físico conhecido para demonstrar como as operações criptográficas no microcontrolador dos modelos Safe 3 e 5 da Trezor ainda podiam ser executadas – apesar das salvaguardas existentes. O microcontrolador, que funciona em conjunto com um chip de elemento seguro no design de dois chips da Trezor, foi identificado como um novo vetor de ataque potencial.
Embora a Trezor tenha implementado verificações de integridade de firmware para detetar software adulterado, a Ledger demonstrou que essas proteções poderiam ser ignoradas sob condições específicas. Isso indicou que, mesmo com chips de elementos seguros projetados para bloquear ataques de baixo custo, como o desgaste de tensão, um invasor habilidoso poderia comprometer o dispositivo visando o microcontrolador.
Trezor corrige problemas e tranquiliza os usuários
Após sua revisão interna das descobertas da Ledger, a Trezor confirmou que havia tomado medidas para mitigar a vulnerabilidade. A empresa enfatizou que a exploração não representava um risco imediato para os usuários e nenhuma ação era necessária de sua parte. Reiterou que a sua abordagem de segurança em camadas continua a ser eficaz na defesa contra ameaças à cadeia de abastecimento.
Em um comunicado sobre o X, a Trezor reconheceu os desafios inerentes à segurança cibernética e observou que, embora patches de firmware tenham sido emitidos, as atualizações de software por si só não podem eliminar todos os riscos. A empresa aconselhou os usuários a comprar dispositivos apenas diretamente de varejistas autorizados para minimizar a exposição à adulteração da cadeia de suprimentos.
Colaboração da Indústria em Normas de Segurança
O diretor de tecnologia da Ledger, Charles Guillemet, elogiou a pronta resposta da Trezor, afirmando:
"Melhorar a segurança geral do ecossistema é essencial à medida que trabalhamos para uma adoção mais ampla de criptoativos e ativos digitais."
A Ledger enfrentou seus próprios desafios de segurança nos últimos anos. Em 2023, uma exploração na biblioteca de conectores da Ledger levou a uma perda de US$ 484.000 em fundos de criptomoedas. Uma violação separada em 2020 comprometeu os dados pessoais de mais de 270.000 clientes.
Declaração de exoneração de responsabilidade: Este artigo é fornecido apenas para fins informativos. Não é oferecido ou destina-se a ser usado como aconselhamento jurídico, fiscal, de investimento, financeiro ou outro.
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
Trezor luta para corrigir vulnerabilidade sinalizada pelo Rival Ledger
A Trezor resolveu uma falha de segurança em suas carteiras de hardware Safe 3 e Safe 5 após uma divulgação da rival Ledger, que descobriu uma maneira de contornar algumas das contramedidas existentes da Trezor contra ataques à cadeia de suprimentos.
Trezor responde às descobertas de segurança da Ledger
O provedor de carteira de hardware Trezor abordou uma vulnerabilidade em seus modelos Safe 3 e Safe 5 depois que uma revisão de segurança pela equipe de Donjon da Ledger expôs possíveis fraquezas na arquitetura de dois chips dos dispositivos. A falha, descrita como uma ameaça "teórica", só poderia ser explorada através de ataques complexos à cadeia de abastecimento física, provavelmente afetando dispositivos em segunda ou terceira mão.
A vulnerabilidade veio à tona depois que a Ledger compartilhou suas descobertas com a Trezor, levando a uma divulgação pública por esta última em 5 de março
Trezor afirmou em X.com,
"A Ledger Donjon avaliou recentemente nossa família Trezor Safe e reutilizou com sucesso um ataque anteriormente conhecido para demonstrar como algumas contramedidas contra ataques à cadeia de suprimentos no Trezor Safe 3 podem ser contornadas."
Ignorando as proteções da cadeia de suprimentos
De acordo com o relatório de 12 de março da Ledger, sua equipe de pesquisa de segurança da Donjon conseguiu reutilizar um método de ataque físico conhecido para demonstrar como as operações criptográficas no microcontrolador dos modelos Safe 3 e 5 da Trezor ainda podiam ser executadas – apesar das salvaguardas existentes. O microcontrolador, que funciona em conjunto com um chip de elemento seguro no design de dois chips da Trezor, foi identificado como um novo vetor de ataque potencial.
Embora a Trezor tenha implementado verificações de integridade de firmware para detetar software adulterado, a Ledger demonstrou que essas proteções poderiam ser ignoradas sob condições específicas. Isso indicou que, mesmo com chips de elementos seguros projetados para bloquear ataques de baixo custo, como o desgaste de tensão, um invasor habilidoso poderia comprometer o dispositivo visando o microcontrolador.
Trezor corrige problemas e tranquiliza os usuários
Após sua revisão interna das descobertas da Ledger, a Trezor confirmou que havia tomado medidas para mitigar a vulnerabilidade. A empresa enfatizou que a exploração não representava um risco imediato para os usuários e nenhuma ação era necessária de sua parte. Reiterou que a sua abordagem de segurança em camadas continua a ser eficaz na defesa contra ameaças à cadeia de abastecimento.
Em um comunicado sobre o X, a Trezor reconheceu os desafios inerentes à segurança cibernética e observou que, embora patches de firmware tenham sido emitidos, as atualizações de software por si só não podem eliminar todos os riscos. A empresa aconselhou os usuários a comprar dispositivos apenas diretamente de varejistas autorizados para minimizar a exposição à adulteração da cadeia de suprimentos.
Colaboração da Indústria em Normas de Segurança
O diretor de tecnologia da Ledger, Charles Guillemet, elogiou a pronta resposta da Trezor, afirmando:
"Melhorar a segurança geral do ecossistema é essencial à medida que trabalhamos para uma adoção mais ampla de criptoativos e ativos digitais."
A Ledger enfrentou seus próprios desafios de segurança nos últimos anos. Em 2023, uma exploração na biblioteca de conectores da Ledger levou a uma perda de US$ 484.000 em fundos de criptomoedas. Uma violação separada em 2020 comprometeu os dados pessoais de mais de 270.000 clientes.
Declaração de exoneração de responsabilidade: Este artigo é fornecido apenas para fins informativos. Não é oferecido ou destina-se a ser usado como aconselhamento jurídico, fiscal, de investimento, financeiro ou outro.