SatoshiLabs признала наличие уязвимости кошелька Trezor, выявленной Wallet.fail

SatoshiLabs признала наличие уязвимости кошелька Trezor, выявленной Wallet.fail

Чешская SatoshiLabs отреагировала на известие об уязвимости своего аппаратного кошелька, продемонстрированной командой Wallet.fail, достаточно сдержанно. Да, проблема действительно существует и будет устранена, но пока устройство находится под контролем пользователя, беспокоиться не о чем.

В отличие от Ledger, осыпавшей организаторов шоу упреками в неэтичности, и заявившей, что хакеры вряд ли сумеют использовать на практике выявленные исследователями уязвимости аппаратных кошельков, SatoshiLabs, чье устройство также поучаствовало в презентации Wallet.fail, продемонстрировала умение держать удар.

«Нас не проинформировали заранее об этом в рамках нашей программы Responsible Disclosure, мы узнали об уязвимостях из презентации, — написал технический директор SatoshiLabs Павол Русняк. — Нам потребуется время, чтобы это исправить, мы планируем сделать это, представив обновление к концу января».

Далее он объяснил, что упомянул программу только для того, чтобы отвести подозрения от компании — чтобы пользователи не решили, что SatoshiLabs продавала кошельки, зная об этой уязвимости, и не предпринимая ничего для ее устранения. Русняк также отметил, что провел пару часов, обсуждая выявленные уязвимости с командой Wallet.fail, и что обсуждение было вполне конструктивным и результативным.

Официальный аккаунт Trezor подтвердил слова технического директора компании о подготовке обновления, которое выйдет так быстро, как только возможно. В то же время пользователям напомнили, что речь идет о физической уязвимости — то есть хакеру для взлома нужен физический доступ к устройству. «Если вы сохраняете контроль над своим кошельком Trezor, можно продолжать им пользоваться, вам ничего не угрожает», — сообщает компания.

В качестве дополнительной меры защиты можно активировать опцию passphrase, однако Trezor напоминает, что это для продвинутых пользователей, и что нужно сначала нужно вникнуть в принцип ее работы и осознать, что утеря фразы-пароля равносильна утере хранящихся на кошельке средств.

Напомним, что в ходе презентации команда Wallet.fail продемонстрировала ряд уязвимостей аппаратных кошельков Trezor и Ledger. В частности, из памяти Trezor были извлечены PIN и мнемоническое ядро. Кроме того, исследователи заявили, что далеко не все из найденных уязвимостей вошли в презентацию — на самом деле их больше, и далеко не каждую из них можно устранить выпуском соответствующего обновления.

Источник

Это также будет Вам интересно:
Популярные темы часа: SatoshiLabstrezorкошелекНовости
iMag.one - Самые важные новости достойные вашего внимания из более чем 300 изданий!