Ledger Trezor Crypto Nano Wallet Hack Trezor Onderzoek Blockchain Crypto

Ledger, een van de grootste hardware wallet-fabrikanten, maakt in een artikel vijf kwetsbaarheden bekend waar Trezor’s hardware wallets mee kampen. Als gevolg van de kwetsbaarheden zouden hackers onder andere de private cryptocurrency key van de wallets kunnen stelen.

Het onderzoek naar Trezor’s hardware wallets is uitgevoerd door Attack Lab, een afdeling van Ledger dat zowel haar eigen wallets als wallets van concurrenten hackt om de beveiliging te kunnen verbeteren. Nadat Ledger de kwetsbaarheden ontdekte zou het Trezor naar verluidt meerdere keren hebben geïnformeerd over de vondsten. Trezor reageerde daar echter niet op en dus besloot Ledger de informatie publiekelijk te delen.

Ledger ontdekt vijf kwetsbaarheden

In het artikel beschrijft het team van Ledger vijf kwetsbaarheden. Zo zouden hackers via een backdoor een hardware wallet makkelijk kunnen imiteren en deze weer terug kunnen stoppen in de doos, met seal en al. Het is hierdoor onmogelijk om te achterhalen of de hardware wallet ooit uit de doos is gehaald of niet.

Het team wist daarnaast de pincode van een Trezor wallet te raden middels een side-channel attack. Dit is in november 2018 aan Trezor gemeld en is uiteindelijk opgelost na een firmware update.

Als gevolg van de derde en vierde kwetsbaarheid die werden ontdekt kunnen hackers persoonlijke gegevens van Trezor apparaten stelen. Wanneer hackers fysiek toegang kunnen krijgen tot zowel de Trezor One als de Trezor T, dan kunnen zij alle data van de flashdrive halen. Zo krijgen hackers controle over de digitale activa die opgeslagen zijn op de apparaten. Deze drie laatste kwetsbaarheden kunnen volgens Ledger opgelost worden door een Secure Element chip te gebruiken in het ontwerp van de hardware wallets van Trezor.

Door laatste kwetsbaarheid die Ledger ontdekte kunnen hackers mogelijk de private cryptocurrency key stelen middels een side-channel attack. De crypto library van de Trezor One zou niet adequaat genoeg zijn om hardware aanvallen tegen te gaan, ondanks het feit Trezor beweert dat haar wallets veilig zijn voor dergelijke aanvallen.

Tot nu toe heeft Trezor nog niet gereageerd op de vondsten van Ledger. Door de kwetsbaarheden online te plaatsen hoopt Ledger dat Trezor de problemen snel oplost. Hoewel sommige problemen alleen opgelost kunnen worden door het beveiligingsmodel opnieuw te ontwerpen, aldus Ledger.