O principal fabricante de carteiras de hardware para criptomoedas, Ledger, revelou vulnerabilidades nos dispositivos de seu concorrente direto, a Trezor, de acordo com um relatório publicado nesta segunda-feira, 11 de março.

Até a publicação desta notícia, a Trezor não estava disponível para comentar as descobertas da Ledger.

O estudo afirma que as vulnerabilidades foram encontradas pelo Attack Lab, departamento da empresa que hackeia seus próprios dispositivos e dos concorrentes para melhorar a segurança. A Ledger afirma que abordou repetidamente a Trezor sobre os pontos fracos encontrados em suas carteiras Trezor One e Trezor T, e decidiu torná-los públicos após o término do período de divulgação responsável.

A primeira vulnerabilidade está relacionada à autenticidade dos dispositivos. De acordo com a equipe da Ledger, o dispositivo Trezor pode ser imitado por um backdooring com malware e, em seguida, selado novamente em sua caixa com uma falsa etiqueta à prova de adulteração de fácil remoção. A Ledger afirma que essa vulnerabilidade só pode ser resolvida com a revisão do design das carteiras Trezor e, em particular, pela substituição de um dos componentes principais por um chip Secure Element.

Em segundo lugar, os hackers da Ledger adivinharam o valor do PIN em uma carteira Trezor usando um ataque side-channel, reportando o problema a Trezor no final de novembro de 2018. A empresa resolveu o problema em sua atualização de firmware 1.8.0.

A terceira e quarta vulnerabilidades, que a Ledger também sugere como soluções a substituição do componente principal por um chip Secure Element, consistem na possibilidade de roubar dados confidenciais do dispositivo. A Ledger afirma que um invasor com acesso físico a Trezor One e Trezor T pode extrair todos os dados da memória flash e obter controle sobre os ativos armazenados no dispositivo.

A última fraqueza descoberta também está relacionada ao modelo de segurança da Trezor. De acordo com Ledger, a biblioteca de criptomoedas do modelo Trezor One não contém contramedidas adequadas para ataques de hardware. A equipe alega que um hacker com acesso físico ao dispositivo pode extrair a chave privada por meio de um ataque side-channel, embora a Trezor tenha alegado que suas carteiras são resistentes ao tipo de ataque.

Em novembro de 2018, a própria Trezor avisou que um terceiro desconhecido estava operando como distribuidor de cópias de seu principal dispositivo, o Trezor One. As carteiras falsas pareciam ser originárias da China e a empresa pediu aos donos que comprassem carteiras apenas no site da Trezor.

No entanto, em seu relatório, a Ledger afirma que os usuários não estão seguros mesmo quando compram um hardware do site oficial da Trezor. O invasor pode comprar vários dispositivos, fazer o backdoor e enviá-los de volta ao fabricante solicitando o reembolso. Caso o dispositivo comprometido seja vendido novamente, os fundos de criptomoedas do usuário podem ser roubados, conclui a Ledger.

Em novembro de 2018, a equipe de pesquisa por trás do projeto hacking Wallet.fail demonstrou como eles hackearam o Trezor One, o Ledger Nano S e o Ledger Blue na conferência  35C3 Refreshing Memories. Tanto a Trezor quanto a Ledger admitiram as vulnerabilidades encontradas. À época, a Trezor observou que uma atualização de firmware resolveria os problemas, enquanto a Ledger acrescentou que as vulnerabilidades não eram críticas para suas carteiras.