Ledger가 Trezor 보안 취약점 수정 지원

하드웨어 지갑 공급업체 레저가 트레저 세이프 3 및 5 모델에서 보안 제어를 우회할 수 있음을 트레저 측에 입증해 트레저가 취약점을 수정하도록 촉구했다.

하드웨어 지갑 공급업체 트레저는 레저의 오픈소스 연구팀이 마이크로 컨트롤러에서 결함을 발견한 후 최신 모델 2종에서 보안 취약점을 수정했다.

레저 돈존은 트레저가 최근 몇 가지 보안을 개선했다고 인정했지만, 트레저 세이프 3과 5 모델의 마이크로컨트롤러에서 여전히 암호화 연산을 수행할 수 있어 '더 정교한 공격에 취약하다'고 지적했습니다.

유감스럽게도 트레저는 이미 발견된 취약점을 패치했다고 Ledger의 CTO 찰스 길메트는 3월 12일 게시물에서 말했습니다.

"우리는 생태계 보안 개선이 모두에게 유익하며 암호화폐와 디지털 자산의 채택을 장려하는 데 필수적이라고 믿습니다."라고 Guillemet은 덧붙였습니다.

트레저는 이미 사용자 PIN과 암호화 비밀을 보호하기 위해 설계된 '보안 요소' 칩을 도입했는데, 일부 트레저 기기는 실행 중인 소프트웨어를 수정하여 해킹할 수 있고 공격자가 사용자의 자금을 탈취할 수 있기 때문입니다.

레저는 3월 12일 발표에서 보안 요소 기능이 "저비용 하드웨어 공격, 특히 정전을 효과적으로 방지한다"며 "이는 장치를 분실하거나 도난당한 경우에도 사용자의 자금 보안을 보장한다"고 말했습니다."

"보안 요소 기능은 사용자들의 자금을 안전하게 보호합니다." 하지만 레저는 Trezor의 Safe 3 및 5 모델의 듀얼 칩 설계의 또 다른 핵심 요소인 마이크로컨트롤러에서 또 다른 잠재적 공격 벡터를 발견했습니다.

트레저, 펌웨어 무결성 검사 취약점 해결

트레저는 조작된 소프트웨어를 탐지하는 펌웨어 무결성 검사를 구현했지만 레저는 공격자가 여전히 이 보안 검사를 우회한다는 사실을 입증할 수 있었죠.

그 이후 Trezor는 이 문제를 해결했지만 Ledger나 Trezor 모두 그 방법을 설명하지 않았습니다.

트레저는 X에서 사용자의 자금이 안전하게 유지되며 아무런 조치가 필요하지 않다고 밝혔습니다.

하지만 하드웨어 지갑 공급업체는 펌웨어 업데이트를 통해 문제를 해결할 수 있는지 묻자 이렇게 답했습니다: "안타깝게도 불가능합니다."

"사이버 보안에서 황금률은 간단합니다: 완전한 무결점은 없습니다. 그렇기 때문에 우리는 이미 공급망 공격에 대한 다계층 보호를 구현했으며 항상 사용자에게 공식 출처에서 구매하도록 권고합니다."

2023년 12월, 해커가 Ledger의 커넥터 라이브러리를 손상시키고 484,000달러 상당의 암호화폐를 훔쳤습니다.

레저의 시스템을 해킹한 또 다른 공격자는 2020년 6월 약 27만 명의 레저 고객 이메일 주소를 공개했습니다.

트레저는 레저에서 발견된 최신 보안 취약점을 패치했지만 마이크로 컨트롤러를 통한 잠재적 공격 경로에 대한 우려는 여전히 남아 있습니다.

두 회사는 사용자의 자금을 보호하기 위해 지속적인 보안 개선과 다계층 보호의 중요성을 강조하고 있습니다. 과거 암호화폐 하드웨어 지갑 업계에 영향을 미쳤던 보안 침해 사건에도 불구하고 트레저는 즉각적인 조치가 필요 없이 사용자의 자금이 안전하게 보호되고 있다고 안심시키고 있습니다.