Ledger relata vulnerabilidades na carteira Trezor

Ledger relata vulnerabilidades na carteira Trezor

By Melissa Eggersman - min. de leitura
Atualizado 14 junho 2021

Na briga entre os grandes nomes das carteiras físicas, a Ledger e a Trezor são dois dos principais. É claro que existe uma certa rivalidade entre as duas companhias, que muitas vezes é expressada em pesquisas para descobrir falhas nos produtos do concorrente. Mais recentemente, a Ledger descobriu diversas vulnerabilidades em um dos produtos do seu concorrente.

A Ledger afirma que existem cinco diferentes falhas de segurança distribuídas entre o Trezor One e o Trezor Model T.

As descobertas da Trezor são resultado da recém-formada “Attack Lab” que trabalha para testar os produtos da própria companhia e de seus competidores. A Ledger disse que deu à Trezor 4 meses para corrigir os bugs. Agora, com o tempo de exposição responsável esgotado, a empresa decidiu revelar as vulnerabilidades publicamente.

Quais são as vulnerabilidades?

Um dos bugs já foi corrigido pela Trezor. A vulnerabilidade permitia que um hacker pudesse medir ao consumo de energia do dispositivo para conseguir descobrir o PIN e ganhar acesso à carteira. Uma outra vulnerabilidade, que foi mitigada por essa correção, é que um agente malicioso com o PIN podia extrair a chave privada do usuário.

Outras duas vulnerabilidades, que são o mesmo bug encontrado em dois modelos, permitia que um hacker pudesse extrair dados da memória da carteira e ter acesso aos fundos do usuário. A solução desse problema pode levar à necessidade de elaboração de um novo design do produto, mas os usuários podem prevenir o problema ao usar uma frase de segurança forte.

A outra vulnerabilidade é física e facilita a falsificação das carteiras Trezor. Segundo a Ledger, o selo de segurança e garantia da Trezor pode ser removido e recolocado com muita facilidade. Isso pode permitir que um golpista abra a carteira Trezor, troque o hardware para sistemas maliciosos e coloque o selo de garantia novamente.

A resposta da Trezor

A Trezor foi rápida em responder as acusações. Segundo a empresa, nenhum dos bugs pode ser viavelmente explorado. A fabricante informou que nenhum dos bugs pode ser explorado sem contato físico com a carteira e ainda citou uma pesquisa realizada pela Binance que diz que apenas 6% dos usuários acreditam que ataques físicos apresentam ameaça para uma carteira.

De todos os problemas relatados, a Trezor afirma que ou estão corrigidos, ou não são exploráveis.

 

Veja também: Kurt Russel irá estrelar thriller sobre criptomoedas chamado ‘Crypto’