Несколько дней назад поставщик решений по хранению криптовалюты Ledger подвергся атаке на библиотеку Connect Kit, которая поставила под угрозу средства миллионов пользователей. Эта атака была предотвращена благодаря своевременному вмешательству команды компании, установившей исправление.
После этого события многие пользователи в мире криптовалют, недовольные отсутствием в Ledger мер предосторожности, которые могли бы предотвратить эксплойт, начали проявлять больший интерес к конкуренту Trezor, который также является производителем некастодиальных кошельков.
В этой статье мы исследуем Trezor, все его функции и стандарты безопасности.
Ledger Storm: эксплойт в библиотеке комплекта подключения подвергает риску криптокошельки миллионов пользователей
В четверг, 14 декабря, на X разразилась буря против поставщика криптовалютных кошельков Ledger, что побудило многих пользователей задуматься о переходе на конкурента Trezor.
Все началось, когда в 11 часов утра по итальянскому времени было обнаружено, что учетная запись Github бывшего сотрудника Ledger была скомпрометирована (предположительно в результате фишинговой атаки), что позволило злоумышленникам установить вредоносную версию комплекта подключения непосредственно в репозиторий.
Комплект подключения — это соединение, которое позволяет пользователям децентрализованных платформ подключать свой Ledger к различным децентрализованным приложениям и обычно открывается, как только вы посещаете веб-сайт, поддерживающий соединение Web3.
Проблема в данном случае заключается в том, что вредоносный код распространялся по CDN и доставлялся всем, кто взаимодействовал с библиотекой подключения кошелька Ledger, а это 99% всех существующих децентрализованных приложений. Это затронуло даже Revoke.Cash.
Любой, кто подключался к своему реестру через комплект подключения 14 декабря с 11:00 до 17:00, был немедленно взломан, что в нескольких словах вызывало всплывающее окно (как показано на следующем рисунке), которое, если щелкнуть по нему, привело бы к опустошение криптокошелька.
На данный момент ситуация, похоже, находится под контролем: команда Ledger установила новую версию комплекта коннектора с патчем, устраняющим проблему.
Однако по-прежнему существует много сомнений относительно потенциальных последствий, которые этот эксплойт мог принести в криптографическом сообществе.
Прежде всего потому, что отныне разработчики децентрализованных приложений подвергаются риску, если они по-прежнему внедрят устаревшую версию библиотеки Ledger, и если они не предпримут меры после серьезного инцидента, они могут нанести вред всем пользователям, использующим приложение.
Кроме того, мы не знаем, могла ли ошибка распространить вредоносное ПО на устройствах людей, посетивших dapp 14 декабря, даже если они не попали в ловушку вредоносного всплывающего окна.
Сообщество «белых шляп» и сам Ledger быстро устранили бурный эксплойт, сумев максимально сдержать ущерб, но риски все еще скрываются, и многие пользователи решают отказаться от производства кошельков и переключиться на конкурента Trezor.
Небольшое предложение после инцидента: как было предложено аккаунтом X «Мудит Гупта», а затем и «Блэки» (который сыграл фундаментальную роль в быстром распространении новостей в итальянском сообществе), проверьте, установлена ли версия комплекта подключения на Сеть cdn — «1.1.8», и в любом случае удалите все данные просмотра в Chrome, такие как файлы cookie и кеш.
Проблема с реестром теперь решена.
Чтобы убедиться, что у вас нет кэшированной вредоносной библиотеки, перейдите по адресу https://t.co/MSVgii7Ufk и убедитесь, что установлена версия 1.1.8.
Если это не так, очистите кеш. chrome- F12> Инструменты разработчика Chrome> вкладка «Приложения»> «Хранилище» в левом дереве> «Очистить данные сайта». pic.twitter.com/BtNUiO4vXF
– Мудит Гупта (@Mudit__Gupta) 14 декабря 2023 г.
Альтернатива Trezor: что это такое и как работает этот кошелек? Это безопаснее, чем Леджер?
Как уже упоминалось, после серьезного инцидента, произошедшего в доме Леджера, многие пользователи начали переходить на криптокошелек Trezor с мыслью, что последний безопаснее конкурента.
Давайте разберемся, каковы основные особенности Трезора и чем он отличается от главного конкурента.
Однако напоминаем, что эксплойт, о котором мы говорили, касается не самого физического устройства, а скорее неоднозначной практики, когда бывший сотрудник Ledger может публиковать вредоносный код на Github через CDN.
Прежде всего, давайте уточним, что Trezor — это аппаратный кошелек, не связанный с хранением, который используется для хранения криптовалюты без передачи секретных ключей какой-либо третьей стороне.
Оно работает так же, как и другие решения, не связанные с хранением: после запуска устройства вы можете выбрать, восстановить ли кошелек из существующей исходной фразы или инициализировать учетную запись с нуля.
Начальная фраза вместе с PIN-кодом устройства представляет собой две основные меры безопасности аппаратного кошелька, которые защищают пользователя от потери, кражи или некоторых кибератак.
Существует 3 различные модели Trezor (модель один, сейф 3 и модель T), каждая из которых поддерживает более 800 монет или токенов и позволяет отправлять, передавать или хранить активы.
Одна модель работает через USB-кабель, а две другие — через USB-C.
Модель Т, самая дорогая и самая последняя, оснащена 1,54-дюймовым сенсорным экраном, а остальные имеют «двухкнопочную панель».
Все три имеют код с открытым исходным кодом и представляют собой одну из отличительных особенностей Trezor, которая уделяет большое внимание безопасности, прозрачности и конфиденциальности.
К трем криптокошелькам также можно подключить программу анонимного просмотра Tor, которая позволяет защитить себя от некоторых опасностей в Интернете.
Теперь перейдем к различиям с Ledger:
По сравнению с Ledger, кошелек Trezor имеет открытый исходный код, что представляет собой гораздо более привлекательное введение по сравнению с закрытым кодом первого, которому каждый «должен доверять».
Контекст открытого исходного кода позволяет лучше контролировать ошибки и быстрее решать проблемы, чем любая частная система.
Еще одно отличие касается хорошо известного «элемента безопасности», который представляет собой настоящий чип, присутствующий на ВСЕХ устройствах Ledger (в то время как он присутствует только на сейфе Trezor 3) и представляет собой меру безопасности, которая не позволяет злоумышленникам получить секретные ключи кошелька. в случае кражи устройства.
Закрытые ключи никогда не покидают элемент безопасности, и в этом большое преимущество Ledger.
Что касается материалов, то и здесь Ledger преобладает над Trezor: металл первого гораздо прочнее пластика, используемого при производстве второго.
Устанавливаемые приложения одинаковы и доступны в обоих случаях на iOS и Android.
Наконец, что касается репутации бренда, мы можем сказать, что Ledger после последней ошибки усугубил и без того критическую ситуацию, когда дело доходит до доверия к миру криптовалют.
Компания уже получала негативное внимание по спорным вопросам (таким как функция «Восстановить», предложенная несколько месяцев назад), но после последнего серьезного инцидента, которого можно было бы избежать при более профессиональных мерах предосторожности, очевидно, что оснований больше нет. для доверия.
Trezor всегда демонстрировал свою приверженность безопасности своих устройств и прозрачности своих операций.
