Trezor đã giải quyết một lỗ hổng bảo mật trong ví cứng Safe 3 và Safe 5 của mình sau khi tiết lộ bởi đối thủ Ledger, phát hiện ra cách vượt qua một số biện pháp đối phó hiện có của Trezor chống lại các cuộc tấn công chuỗi cung ứng.
Trezor phản hồi các phát hiện bảo mật của Ledger
Nhà cung cấp ví phần cứng Trezor đã giải quyết một lỗ hổng trong các mô hình Safe 3 và Safe 5 sau khi đánh giá bảo mật của nhóm Donjon của Ledger cho thấy những điểm yếu tiềm ẩn trong kiến trúc hai chip của thiết bị. Lỗ hổng, được mô tả là mối đe dọa "lý thuyết", chỉ có thể được khai thác thông qua các cuộc tấn công chuỗi cung ứng vật lý phức tạp, rất có thể ảnh hưởng đến các thiết bị cũ hoặc thứ ba.
Lỗ hổng được đưa ra ánh sáng sau khi Ledger chia sẻ những phát hiện của mình với Trezor, khiến Trezor phải tiết lộ công khai vào ngày 5 tháng 3
Trezor tuyên bố trên X.com,
"Ledger Donjon gần đây đã đánh giá Trezor Safe Family của chúng tôi và sử dụng lại thành công một cuộc tấn công đã biết trước đó để chứng minh cách một số biện pháp đối phó chống lại các cuộc tấn công chuỗi cung ứng trong Trezor Safe 3 có thể được vượt qua."
Vượt qua các biện pháp bảo vệ chuỗi cung ứng
Theo báo cáo ngày 12 tháng 3 từ Ledger, nhóm nghiên cứu bảo mật Donjon của họ đã cố gắng sử dụng lại một phương pháp tấn công vật lý đã biết để chứng minh cách các hoạt động mật mã trên vi điều khiển của các mô hình Safe 3 và 5 của Trezor vẫn có thể được thực hiện — bất chấp các biện pháp bảo vệ hiện có. Bộ vi điều khiển, hoạt động song song với chip phần tử an toàn trong thiết kế hai chip của Trezor, được xác định là một vectơ tấn công tiềm năng mới.
Trong khi Trezor đã thực hiện kiểm tra tính toàn vẹn của chương trình cơ sở để phát hiện phần mềm bị giả mạo, Ledger đã chứng minh rằng các biện pháp bảo vệ này có thể được bỏ qua trong các điều kiện cụ thể. Điều này chỉ ra rằng ngay cả với các chip phần tử an toàn được thiết kế để chặn các cuộc tấn công chi phí thấp như trục trặc điện áp, một kẻ tấn công lành nghề có khả năng xâm phạm thiết bị bằng cách nhắm mục tiêu vào vi điều khiển.
Sự cố Trezor khắc phục và trấn an người dùng
Sau khi xem xét nội bộ về những phát hiện của Ledger, Trezor xác nhận rằng họ đã thực hiện hành động để giảm thiểu lỗ hổng. Công ty nhấn mạnh rằng việc khai thác không gây rủi ro ngay lập tức cho người dùng và không có hành động nào được yêu cầu từ phía họ. Họ nhắc lại rằng cách tiếp cận bảo mật theo lớp của họ vẫn hiệu quả trong việc bảo vệ chống lại các mối đe dọa chuỗi cung ứng.
Trong một tuyên bố trên X, Trezor thừa nhận những thách thức cố hữu trong an ninh mạng và lưu ý rằng trong khi các bản vá firmware đã được ban hành, các bản cập nhật phần mềm một mình không thể loại bỏ tất cả các rủi ro. Công ty khuyên người dùng chỉ nên mua thiết bị trực tiếp từ các nhà bán lẻ được ủy quyền để giảm thiểu tiếp xúc với việc giả mạo chuỗi cung ứng.
Hợp tác trong ngành về các tiêu chuẩn bảo mật
Giám đốc Công nghệ của Ledger, Charles Guillemet, đã ca ngợi phản ứng nhanh chóng của Trezor, nói rằng,
"Tăng cường bảo mật tổng thể của hệ sinh thái là điều cần thiết khi chúng tôi hướng tới việc áp dụng rộng rãi hơn tiền điện tử và tài sản kỹ thuật số."
Ledger đã phải đối mặt với những thách thức bảo mật của riêng mình trong những năm gần đây. Vào năm 2023, một vụ khai thác trong thư viện trình kết nối của Ledger đã dẫn đến khoản lỗ 484.000 đô la tiền điện tử. Một vi phạm riêng biệt vào năm 2020 đã xâm phạm dữ liệu cá nhân của hơn 270.000 khách hàng.
Tuyên bố từ chối trách nhiệm: Bài viết này chỉ được cung cấp cho mục đích thông tin. Nó không được cung cấp hoặc dự định được sử dụng làm tư vấn pháp lý, thuế, đầu tư, tài chính hoặc tư vấn khác.
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Trezor tranh giành để vá lỗ hổng được gắn cờ bởi đối thủ Ledger
Trezor đã giải quyết một lỗ hổng bảo mật trong ví cứng Safe 3 và Safe 5 của mình sau khi tiết lộ bởi đối thủ Ledger, phát hiện ra cách vượt qua một số biện pháp đối phó hiện có của Trezor chống lại các cuộc tấn công chuỗi cung ứng.
Trezor phản hồi các phát hiện bảo mật của Ledger
Nhà cung cấp ví phần cứng Trezor đã giải quyết một lỗ hổng trong các mô hình Safe 3 và Safe 5 sau khi đánh giá bảo mật của nhóm Donjon của Ledger cho thấy những điểm yếu tiềm ẩn trong kiến trúc hai chip của thiết bị. Lỗ hổng, được mô tả là mối đe dọa "lý thuyết", chỉ có thể được khai thác thông qua các cuộc tấn công chuỗi cung ứng vật lý phức tạp, rất có thể ảnh hưởng đến các thiết bị cũ hoặc thứ ba.
Lỗ hổng được đưa ra ánh sáng sau khi Ledger chia sẻ những phát hiện của mình với Trezor, khiến Trezor phải tiết lộ công khai vào ngày 5 tháng 3
Trezor tuyên bố trên X.com,
"Ledger Donjon gần đây đã đánh giá Trezor Safe Family của chúng tôi và sử dụng lại thành công một cuộc tấn công đã biết trước đó để chứng minh cách một số biện pháp đối phó chống lại các cuộc tấn công chuỗi cung ứng trong Trezor Safe 3 có thể được vượt qua."
Vượt qua các biện pháp bảo vệ chuỗi cung ứng
Theo báo cáo ngày 12 tháng 3 từ Ledger, nhóm nghiên cứu bảo mật Donjon của họ đã cố gắng sử dụng lại một phương pháp tấn công vật lý đã biết để chứng minh cách các hoạt động mật mã trên vi điều khiển của các mô hình Safe 3 và 5 của Trezor vẫn có thể được thực hiện — bất chấp các biện pháp bảo vệ hiện có. Bộ vi điều khiển, hoạt động song song với chip phần tử an toàn trong thiết kế hai chip của Trezor, được xác định là một vectơ tấn công tiềm năng mới.
Trong khi Trezor đã thực hiện kiểm tra tính toàn vẹn của chương trình cơ sở để phát hiện phần mềm bị giả mạo, Ledger đã chứng minh rằng các biện pháp bảo vệ này có thể được bỏ qua trong các điều kiện cụ thể. Điều này chỉ ra rằng ngay cả với các chip phần tử an toàn được thiết kế để chặn các cuộc tấn công chi phí thấp như trục trặc điện áp, một kẻ tấn công lành nghề có khả năng xâm phạm thiết bị bằng cách nhắm mục tiêu vào vi điều khiển.
Sự cố Trezor khắc phục và trấn an người dùng
Sau khi xem xét nội bộ về những phát hiện của Ledger, Trezor xác nhận rằng họ đã thực hiện hành động để giảm thiểu lỗ hổng. Công ty nhấn mạnh rằng việc khai thác không gây rủi ro ngay lập tức cho người dùng và không có hành động nào được yêu cầu từ phía họ. Họ nhắc lại rằng cách tiếp cận bảo mật theo lớp của họ vẫn hiệu quả trong việc bảo vệ chống lại các mối đe dọa chuỗi cung ứng.
Trong một tuyên bố trên X, Trezor thừa nhận những thách thức cố hữu trong an ninh mạng và lưu ý rằng trong khi các bản vá firmware đã được ban hành, các bản cập nhật phần mềm một mình không thể loại bỏ tất cả các rủi ro. Công ty khuyên người dùng chỉ nên mua thiết bị trực tiếp từ các nhà bán lẻ được ủy quyền để giảm thiểu tiếp xúc với việc giả mạo chuỗi cung ứng.
Hợp tác trong ngành về các tiêu chuẩn bảo mật
Giám đốc Công nghệ của Ledger, Charles Guillemet, đã ca ngợi phản ứng nhanh chóng của Trezor, nói rằng,
"Tăng cường bảo mật tổng thể của hệ sinh thái là điều cần thiết khi chúng tôi hướng tới việc áp dụng rộng rãi hơn tiền điện tử và tài sản kỹ thuật số."
Ledger đã phải đối mặt với những thách thức bảo mật của riêng mình trong những năm gần đây. Vào năm 2023, một vụ khai thác trong thư viện trình kết nối của Ledger đã dẫn đến khoản lỗ 484.000 đô la tiền điện tử. Một vi phạm riêng biệt vào năm 2020 đã xâm phạm dữ liệu cá nhân của hơn 270.000 khách hàng.
Tuyên bố từ chối trách nhiệm: Bài viết này chỉ được cung cấp cho mục đích thông tin. Nó không được cung cấp hoặc dự định được sử dụng làm tư vấn pháp lý, thuế, đầu tư, tài chính hoặc tư vấn khác.