Блокчейн, финтех, новая экономика, блэкджек

Satoshilabs подтвердила наличие уязвимости кошелька Trezor, найденной Wallet.fail

SatoshiLabs признала наличие уязвимости кошелька Trezor, выявленной Wallet.fail

Новости

Чешская SatoshiLabs отреагировала на известие об уязвимости своего аппаратного кошелька, продемонстрированной командой Wallet.fail, достаточно сдержанно. Да, проблема действительно существует и будет устранена, но пока устройство находится под контролем пользователя, беспокоиться не о чем.

В отличие от Ledger, осыпавшей организаторов шоу упреками в неэтичности, и заявившей, что хакеры вряд ли сумеют использовать на практике выявленные исследователями уязвимости аппаратных кошельков, SatoshiLabs, чье устройство также поучаствовало в презентации Wallet.fail, продемонстрировала умение держать удар.

«Нас не проинформировали заранее об этом в рамках нашей программы Responsible Disclosure, мы узнали об уязвимостях из презентации, — написал технический директор SatoshiLabs Павол Русняк. — Нам потребуется время, чтобы это исправить, мы планируем сделать это, представив обновление к концу января».

Далее он объяснил, что упомянул программу только для того, чтобы отвести подозрения от компании — чтобы пользователи не решили, что SatoshiLabs продавала кошельки, зная об этой уязвимости, и не предпринимая ничего для ее устранения. Русняк также отметил, что провел пару часов, обсуждая выявленные уязвимости с командой Wallet.fail, и что обсуждение было вполне конструктивным и результативным.

Официальный аккаунт Trezor подтвердил слова технического директора компании о подготовке обновления, которое выйдет так быстро, как только возможно. В то же время пользователям напомнили, что речь идет о физической уязвимости — то есть хакеру для взлома нужен физический доступ к устройству. «Если вы сохраняете контроль над своим кошельком Trezor, можно продолжать им пользоваться, вам ничего не угрожает», — сообщает компания.

В качестве дополнительной меры защиты можно активировать опцию passphrase, однако Trezor напоминает, что это для продвинутых пользователей, и что нужно сначала нужно вникнуть в принцип ее работы и осознать, что утеря фразы-пароля равносильна утере хранящихся на кошельке средств.

Напомним, что в ходе презентации команда Wallet.fail продемонстрировала ряд уязвимостей аппаратных кошельков Trezor и Ledger. В частности, из памяти Trezor были извлечены PIN и мнемоническое ядро. Кроме того, исследователи заявили, что далеко не все из найденных уязвимостей вошли в презентацию — на самом деле их больше, и далеко не каждую из них можно устранить выпуском соответствующего обновления.

Понравилась статья?

Подпишись на e-mail рассылку и будь всегда в курсе последних событий
BTC
9963.12-0.68%
ETH
210.07-1.09%
XRP
0.27-2.32%
BCH
307.77-0.04%
Ту зе МУН