A fornecedora de carteiras de hardware Trezor corrigiu uma falha de segurança em dois de seus modelos mais recentes depois que a equipe de pesquisa de código aberto da concorrente Ledger descobriu uma vulnerabilidade nos microcontroladores dos dispositivos.

A Ledger Donjon reconheceu que a Trezor fez vários avanços em segurança recentemente, mas descobriu que operações criptográficas ainda poderiam ser realizadas no microcontrolador dos modelos Safe 3 e Safe 5 da Trezor, o que poderia torná-los “vulneráveis a ataques mais avançados.”

Felizmente, a Trezor já corrigiu as vulnerabilidades encontradas, afirmou o diretor de tecnologia da Ledger, Charles Guillemet, em um post na X em 12 de março.

“Acreditamos que tornar o ecossistema mais seguro ajuda a todos e é fundamental à medida que avançamos para uma adoção mais ampla de criptomoedas e ativos digitais”, acrescentou Guillemet.

Fonte: Charles Guillemet

A Trezor já havia implementado os chamados “Secure Elements” — chips projetados para proteger o código PIN do usuário e segredos criptográficos —, pois alguns dispositivos da Trezor poderiam ser adulterados por meio da modificação do software que roda neles, permitindo que agentes mal-intencionados roubassem fundos dos usuários.

O recurso Secure Elements “impede eficazmente qualquer ataque de hardware de baixo custo, em particular a manipulação de tensão”, afirmou a Ledger em um postagem de 12 de março.

“[Isso] dá aos usuários a confiança de que seus fundos estão seguros, mesmo que seus dispositivos sejam perdidos ou roubados.”

No entanto, a Ledger encontrou outro vetor de ataque potencial que se originava do microcontrolador, a outra parte principal do design de dois chips da Trezor nos modelos Safe 3 e Safe 5.

A Trezor implementou uma verificação de integridade do firmware para detectar modificações no software, mas a Ledger conseguiu demonstrar que um invasor ainda poderia contornar essa medida de segurança.

Esse problema já foi resolvido pela Trezor — embora nem a Ledger nem a Trezor tenham explicado como. O Cointelegraph entrou em contato com a Trezor, mas não recebeu resposta imediata.

Microcontrolador do modelo Trezor Safe 3. Fonte: Ledger

A Trezor confirmou na X que os fundos dos usuários permanecem seguros e que nenhuma ação é necessária.

No entanto, quando perguntada se conseguiu corrigir esse problema via firmware, a Trezor respondeu: “Infelizmente, não.”

“Na cibersegurança, a regra de ouro é simples: nada é totalmente inquebrável. É por isso que já implementamos uma defesa em várias camadas contra ataques à cadeia de suprimentos e sempre aconselhamos nossos usuários a comprar de fontes oficiais.”

A Ledger também não está imune a vulnerabilidades de segurança.

Em dezembro de 2023, um hacker invadiu a biblioteca de conectores da Ledger e roubou US$ 484.000 em criptoativos.

Outro invasor que comprometeu os sistemas da Ledger divulgou os endereços de cerca de 270.000 clientes da Ledger em junho de 2020.