La billetera Trezor respondió a las afirmaciones de Ledger de que sus dispositivos eran vulnerables a los ataques. Charles Guillemet, el Director de Seguridad de Ledger en la MIT Bitcoin Expo celebrada recientemente en Boston, hizo noticia después de que declarara públicamente que cuatro de los dispositivos de Trezor estaban "completamente dañados". Posteriormente, Ledger publicó un informe titulado "Nuestra seguridad compartida: divulgación responsable de las vulnerabilidades de los competidores", que detalla cinco vulnerabilidades clave en los productos de sus competidores.
Un día después de que Ledger publicara su informe, Trezor respondió a las afirmaciones hechas por su competidor, con un informe de su propio titulado, "Nuestra respuesta a los resultados del #MITBitcoinExpo de Ledger".
Trezor comenzó diciendo que los ataques mencionados en el informe de su competidor no eran "explotables". Decía,
"Para comenzar, nos gustaría resaltar el hecho de que ninguno de estos ataques se puede explotar de forma remota. Todos los vectores de ataque demostrados requieren acceso físico al dispositivo, equipo especializado, tiempo y experiencia técnica".
En el informe Ledger, las vulnerabilidades tercera, cuarta y quinta se relacionaban con el anonimato de los datos y el pirateo de claves secretas, que requieren acceso físico a la billetera.
Al referirse a un informe de Binance, el informe de Trezor declaró que solo el 5.93 por ciento de los encuestados sugirió que los ataques físicos o los robos eran la amenaza más pertinente, y el 66 por ciento sugería que los ataques remotos presentaban una preocupación más urgente. Según el estudio, Trezor declaró que los clientes preocupados por los ataques físicos pueden "protegerse con una frase de contraseña".
Afirmaron además que los ataques remotos eran el propósito principal de las fábricas de carteras,
"El propósito principal de una billetera de hardware siempre ha sido proteger a los usuarios y fondos contra ataques de malware, virus informáticos y otros peligros remotos (como robar todos los fondos de Ledger a través de la Dirección de cambio sigiloso)".
A la primera afirmación de Ledger de que la integridad de los dispositivos Trezor puede ser imitada, Trezor respondió:
"No hay forma de que el hardware pueda inspeccionarse a sí mismo y verificar su integridad. La certificación del hardware no es una solución, ya que las modificaciones de hardware se pueden agregar (y se han agregado), lo que hace que el dispositivo confirme que es genuino".
Con respecto al ataque lateral del canal, la vulnerabilidad reclamada por Ledger, Trezor declaró que esta vulnerabilidad estaba "cerca de ser portante de la manera de almacenar datos", relacionada con el Modelo T de Trezor para Trezor One.
Una vez resuelta la vulnerabilidad del PIN, la extracción de la clave secreta mediante la multiplicación escalar de canal lateral también se puede rectificar, declaró el fabricante del hardware. Las reclamaciones mencionadas anteriormente se encuentran en el supuesto de que el atacante tiene acceso a los usuarios & # 39; PIN y acceso físico, que disputó Trezor.
Trezor dijo que Ledger les pidió que no mencionaran el sorprendente ataque final debido a sus implicaciones más amplias para la industria de los microchips. Añadieron que la compañía se abstuvo de dar más información al respecto.
Finalmente, Trezor apeló a sus usuarios para que configuren una billetera protegida con frase de contraseña con varias frases de contraseña para mayor seguridad. Marek Palatinus, CEO de SatoshiLabs y creador de las carteras de hardware de Trezor, concluyó:
"Quisiéramos agradecer a Ledger por demostrar prácticamente el ataque del que hemos estado conscientes desde el diseño de Trezor. Como nos damos cuenta de que ningún hardware es 100% seguro, introdujimos el concepto de frase de contraseña, que además de la negabilidad plausible elimina muchos tipos de ataques físicos, como éste. "
La respuesta de Trezor a las reclamaciones hechas por su competidor se resumió como:
Fuente: Trezor