Ledger が Trezor のセキュリティ脆弱性を修正

ハードウェアウォレットベンダーのLedgerは、Trezor Safe 3および5モデルのセキュリティ制御をバイパスできることをTrezorに示し、Trezorに脆弱性の修正を促しました。

ハードウェアウォレットベンダーのTrezorは、Ledgerのオープンソース研究部門が同社のマイクロコントローラーの欠陥を発見した後、最新モデルの2つのセキュリティ脆弱性を修正しました。

LedgerのDonjon氏は、Trezorが最近いくつかのセキュリティ改善を行ったことを認めましたが、Trezor Safe 3と5モデルのマイクロコントローラーではまだ暗号操作が可能であり、「より巧妙な攻撃に対して脆弱」になっていると指摘しました。

残念ながら、Trezorは発見された脆弱性にすでにパッチを当てていると、LedgerのCTOであるCharles Guillemet氏は3月12日の投稿で述べています。

「エコシステムのセキュリティを向上させることは、誰にとっても有益であり、暗号通貨やデジタル資産の普及を促進するために不可欠だと考えています」とギルメ氏は付け加えた。

Trezorはすでに、ユーザーの暗証番号と暗号秘密を保護するために設計された「Secure Elements」チップを実装しています。一部のTrezorデバイスは、実行するソフトウェアを変更することでハッキングされる可能性があり、攻撃者がユーザーの資金を盗むことができる可能性があるためです。

セキュア・エレメンツ機能は、「低コストのハードウェア攻撃、特に停電を効果的に防ぎます」と、Ledger社は3月12日の発表で述べています。

「これにより、デバイスが紛失したり盗まれたりした場合でも、ユーザーは資金の安全性を確保することができます」。しかしLedgerは、TrezorのSafe 3および5モデルのデュアルチップ設計のもう1つの中核要素であるマイクロコントローラーから来る、もう1つの潜在的な攻撃ベクトルを発見しました。

Trezor社、ファームウェアの整合性とチェックの脆弱性を解消

Trezor は、改ざんされたソフトウェアを検出するためにファームウェアの整合性チェックを実装しましたが、Ledger 氏は、攻撃者がまだこのセキュリティ チェックをバイパスできることを実証できました。

その後、Trezorはこの問題を修正しましたが、LedgerもTrezorもその方法について説明していません。

TrezorはXで、ユーザーの資金は安全なままであり、何の対策も必要ないことを確認しました。

しかしながら、Trezorがファームウェアのアップデートで問題を修正できたかどうか尋ねると、ハードウェアウォレットベンダーは次のように答えました。

「サイバーセキュリティにおける黄金律はシンプルです。2023年12月、ハッカーがLedgerのコネクタライブラリを侵害し、484,000ドル相当の暗号通貨を盗み出しました。

Ledgerのシステムをハッキングした別の攻撃者は、2020年6月に約27万人のLedger顧客の電子メールアドレスを公開しました。

TrezorはLedgerが特定した最新のセキュリティ脆弱性にパッチを適用しましたが、マイクロコントローラーを通じた潜在的な攻撃ベクトルに対する懸念は残っています。

両社は、ユーザーの資金を守るために、継続的なセキュリティ改善と多層的な保護の重要性を強調しています。暗号通貨ハードウェアウォレット業界に影響を与えた過去の侵害にもかかわらず、Trezorはユーザーの資金が安全なままであり、直ちに行動を起こす必要はないとユーザーを安心させています。