Trezor One / Ledger Nano S — лучшие криптокошельки
DeFi (in)security12 / 12 / 2022. Trezor One или Ledger Nano S по прежнему лучший выбор для хранения криптовалют для обычных пользователей.
На постоянной основе досконально анализирую критику в сторону аппаратных кошельков Trezor/Ledger. C уверенностью можно сказать одно: на данный момент любые публичные выпады в сторону безопасности моделей Trezor One / Ledger Nano S — это хайп. Сознательно (или не очень) заблуждаясь "эксперты" очевидным образом привлекают к себе внимание многочисленных пользователей этих производителей. Происходит это благодаря огромной пользовательской базе, среди которой, понятно, что большинство не являются специалистами в информационной безопасности. Этим обновляющимся материалом подведём черту под критикой архитектуры безопасности вышеназванных кошельков. Исходя из общих принципов обеих моделей, хотя они и разные, но сравним их в другой раз.
Входные данные: 1) модель Trezor One появилась в далёком 2014-м году, код основной прошивки открыт, используется единый обычный микрочип общего назначения 2) модель Ledger Nano S выпущена в 2016-м году, для хранения ключей используется второй выделенный специальный проприетарный микрочип (т.н. Secure Element), в связи с этой архитектурой использование открытого кода нецелесообразно.
Оба устройства получили широчайшее распространение и за 6 и 8 лет соответственно подвергались очень серьёзным проверкам и исследованиям безопасности. В 2019-2020гг серьёзные успехи были достигнуты в части получения доступа к ключам имея физический доступ к устройствам и неограниченное время (https://blog.kraken.com/post/3662/kraken-identifies-critical-flaw-in-trezor-hardware-wallets/ и https://www.kaspersky.co.uk/blog/hardware-wallets-hacked/15154/). Производители устройств реагировали на данные события, вносились исправления в прошивки устройств и вводились дополнительные факторы защиты. За всю многолетнюю историю многих десятков тысяч устройств Trezor One и Ledger Nano S не случалось инцидентов чтобы пользователи теряли свои средства из-за недоработок в этих устройствах, а не по своей вине. Если такое событие случится завтра — будьте уверены, эта новость моментально разлетится. И либо это массовая уязвимость, которая эксплуатируется и угрожает всем и о ней все знают, либо её просто нет. Так уж работает современный информационный мир.
Пожалуй, популярным свежим случаем стоящим разбора из-за количества просмотров можно считать этот эмоциональный фильм на Ютубе (https://www.youtube.com/watch?v=dT9y-KQbqi4), в котором по технической части информации буквально крупицы. В фильме автор честно, но мельком рассказывает, что у подопытного Trezor One прошивка версии 1.6.0, а в 1.6.1 эта уязвимость уже устранена. Фильм вышел в январе 2022 года, а прошивка 1.6.1 вышла в марте 2018 года. Таким образом можно утверждать, что все эти аппаратные уязвимости устарели (обновляйте прошивки!) и ссылаться на них мягко говоря не профессионально. А если у кого-то есть актуальные и работающие методики взлома (хотя бы как в фильме выше — с физическим доступом), — так явите их миру и станьте мега популярным кул-хацкером. Ну или продолжайте хайповать на хомячках. Так что когда вам в следующий раз будут вчехлять, мол, аппаратный кошелёк не панацея и прочее бла-бла-бла — можете смело тыкнуть носом в этот доклад.
К безопасности Trezor/Ledger приковано громадное количество внимания и имея работающий концепт взлома данных устройств можно в одночасье сделать себе карьеру в сфере информационной безопасности и прославиться буквально на весь мир. Конечно, это не доказывает на 100%, что не существует некоего кощея, который хранит в своём тайнике эксплойт. Но даже если он и существует, то вероятность его встретить обычному пользователю в жизни стремится к нулю.
Утверждения из разряда, что Trezor в нынешнем виде не имеет инструментов физической защиты (http://officercia.mirror.xyz/p1ieZdxQWH4yHCNOXNPHyT8So1cY0X_wMGKwdmavi7s) легко парируются отсылкой на изучение документации в части использования защитных фраз (passphrase) и скрытых кошельков (https://trezor.io/learn/a/passphrases-and-hidden-wallets).
Прочая критика также встречается, но внимания, честно говоря, не заслуживает, ибо даже сформулировать чётко свои мысли зачастую критики не могут (https://www.youtube.com/watch?v=QSPWM4XB8j4) и расплываются в показаниях. Хороший гайд по угрозам от Trezor: https://trezor.io/learn/a/common-security-threats
Как вывод три простых совета для улучшения безопасности ЛЮБОГО инструмента, а не только применительно к кошелькам Trezor One/Ledger Nano S:
1) Читайте инструкцию и обязательно все действия совершайте осознанно!
2) Обновляйте ПО!
3) Если ставки высоки — изучайте механизм работы инструмента, а также его уязвимые стороны и дополнительные техники защиты (сначала предлагаемые самим инструментом, а затем и сторонние)!
... и подпишитесь на канал @defisec