- 07.10.2024.
ODRICANJE OD ODGOVORNOSTI: Kompletan sadržaj je isključivo edukativno-informativnog karaktera. Ništa nije savjet. Ulaganje u kriptovalute je rizično i ulazite na vašu vlastitu odgovornost nakon vašeg vlastitog istraživanja.
Jesu li ugroženi korisnici kripto novčanika Trezor?
Developer je priznao da zlonamjerni firmware ažuriranje može "izvući" ključnu riječ i zabilježiti lozinku uređaja Trezor. Ova saznanja su se pojavila tijekom rasprave na službenom forumu Trezora. Ovo dolazi nekoliko tjedana nakon prijedloga za Ledger Recover značajku koja je dodatno izazvala zabrinutost u vezi sigurnosti imovine pohranjene u popularnim hardverskim novčanicima.
Developer je istaknuo da iako otvoreni izvorni kod omogućuje globalnu provjeru zajednice i upotrebu heševa i potpisa za provjeru autentičnosti, te mjere ne eliminiraju mogućnost da se štetni kod uključi u službenu verziju softvera. Izjavio je: "Firmware koji se izvršava na vašem Trezoru mora imati pristup privatnim ključevima - inače ne bi mogao potpisivati vaše transakcije. To znači da, ako se firmware pretvori u zlonamjerni, mogao bi izvući privatne ključeve. Jedini način da se to spriječi bio bi zamrzavanje uređaja tako da se nikada ne može ažurirati - i moliti se da u zamrznutoj verziji već nema problema."
Briga koju je izrazio službeni predstavnik Trezora je da bi do trenutka kada zajednica prepozna takve zlonamjerne aktivnosti, već mogla nastati značajna šteta korisnicima. Osim toga, postoje neizvjesnosti u vezi s mogućim budućim vladinim akcijama i politikama prema kriptovalutama koje mogu utjecati na tvrtke u ovom sektoru. Ove izjave izazvale su zabrinutost među korisnicima Trezora i pozvali su na veću transparentnost u vezi sigurnosnih praksi tvrtke. Prijedlozi su izneseni da korisnici istraže hardverske novčanike drugih proizvođača. Trezor je istaknuo svoju predanost sigurnosti i izrazio spremnost za suradnju sa zajednicom kako bi se riješili eventualni rizici.
Slične probleme je imao i kripto novčanik Ledger
U svibnju 2023., Ledger je najavio "Ledger Recover" za korisnike kako bi izvukli svoje privatne ključeve i pohranili ih na vanjski poslužitelj. Ledger i treći pružatelj usluga čuvara bili su zaduženi za čuvanje privatnih ključeva imovine. Unatoč uvjeravanjima od strane Ledgera da će privatni ključevi biti sigurni, kritičari su tvrdili da bi sredstva klijenata mogla biti ugrožena ako treći poslužitelj bude kompromitiran, stavljajući milijarde sredstava u opasnost. Istodobno, kritičari su ukazali na odluku Ledgera da zahtijeva da klijenti dostave identifikaciju izdanu od strane vlade kako bi pristupili toj značajki. Ledger je već prije nekoliko godina doživio sigurnosni propust koji je rezultirao krađom preko 270.000 fizičkih adresa koje pripadaju njihovim klijentima.
