A fornecedora de carteiras de hardware Trezor corrigiu uma falha de segurança em dois de seus modelos mais recentes depois que a equipe de pesquisa de código aberto da concorrente Ledger descobriu uma vulnerabilidade nos microcontroladores dos dispositivos.
A Ledger Donjon reconheceu que a Trezor fez vários avanços em segurança recentemente, mas descobriu que operações criptográficas ainda poderiam ser realizadas no microcontrolador dos modelos Safe 3 e Safe 5 da Trezor, o que poderia torná-los “vulneráveis a ataques mais avançados.”
Felizmente, a Trezor já corrigiu as vulnerabilidades encontradas, afirmou o diretor de tecnologia da Ledger, Charles Guillemet, em um post na X em 12 de março.
“Acreditamos que tornar o ecossistema mais seguro ajuda a todos e é fundamental à medida que avançamos para uma adoção mais ampla de criptomoedas e ativos digitais”, acrescentou Guillemet.
Fonte: Charles Guillemet
A Trezor já havia implementado os chamados “Secure Elements” — chips projetados para proteger o código PIN do usuário e segredos criptográficos —, pois alguns dispositivos da Trezor poderiam ser adulterados por meio da modificação do software que roda neles, permitindo que agentes mal-intencionados roubassem fundos dos usuários.
O recurso Secure Elements “impede eficazmente qualquer ataque de hardware de baixo custo, em particular a manipulação de tensão”, afirmou a Ledger em um postagem de 12 de março.
“[Isso] dá aos usuários a confiança de que seus fundos estão seguros, mesmo que seus dispositivos sejam perdidos ou roubados.”
No entanto, a Ledger encontrou outro vetor de ataque potencial que se originava do microcontrolador, a outra parte principal do design de dois chips da Trezor nos modelos Safe 3 e Safe 5.
A Trezor implementou uma verificação de integridade do firmware para detectar modificações no software, mas a Ledger conseguiu demonstrar que um invasor ainda poderia contornar essa medida de segurança.
Esse problema já foi resolvido pela Trezor — embora nem a Ledger nem a Trezor tenham explicado como. O Cointelegraph entrou em contato com a Trezor, mas não recebeu resposta imediata.
Microcontrolador do modelo Trezor Safe 3. Fonte: Ledger
A Trezor confirmou na X que os fundos dos usuários permanecem seguros e que nenhuma ação é necessária.
No entanto, quando perguntada se conseguiu corrigir esse problema via firmware, a Trezor respondeu: “Infelizmente, não.”
“Na cibersegurança, a regra de ouro é simples: nada é totalmente inquebrável. É por isso que já implementamos uma defesa em várias camadas contra ataques à cadeia de suprimentos e sempre aconselhamos nossos usuários a comprar de fontes oficiais.”
A Ledger também não está imune a vulnerabilidades de segurança.
Em dezembro de 2023, um hacker invadiu a biblioteca de conectores da Ledger e roubou US$ 484.000 em criptoativos.
Outro invasor que comprometeu os sistemas da Ledger divulgou os endereços de cerca de 270.000 clientes da Ledger em junho de 2020.