- Ledger hat eine Schwachstelle in Trezor-Wallets aufgedeckt, die fortgeschrittene Angriffe auf den Mikrocontroller ermöglichen könnte.
- Trezor hat das Problem behoben, bestätigt jedoch, dass es nicht durch ein einfaches Firmware-Update zu lösen war.
Ledger hat eine Schwachstelle in den Hardware-Wallets Trezor Safe 3 und Safe 5 identifiziert und behoben. Diese Schwachstelle betraf den Mikrocontroller, der für fortgeschrittene Angriffe hätte ausgenutzt werden können. Trezor hat die Schwachstelle inzwischen adressiert.
Ledger Donjon, das Sicherheitsteam des Unternehmens, entdeckte, dass kryptografische Operationen auf dem Mikrocontroller in den neuesten Wallet-Modellen von Trezor weiterhin ausführbar waren. Diese Erkenntnis löste Bedenken hinsichtlich potenzieller Sicherheitsrisiken aus.
Charles Guillemet, Chief Technology Officer von Ledger, bestätigte, dass Trezor das Problem nach der Benachrichtigung behoben hat. Er teilte auf X mit:
„Wir sind überzeugt, dass wir alle dazu beitragen, das Ökosystem sicherer zu machen, und dass dies angesichts unseres Ziels, die Akzeptanz von Krypto und digitalen Assets zu erhöhen, entscheidend ist.“
We appreciate Trezor’s responsiveness to this responsible security disclosure, and that Trezor addressed the vulnerabilities we found, showcasing the importance of continuous improvement and cooperation in the crypto space.
— Charles Guillemet (@P3b7_) March 12, 2025
Trezor verstärkt die Sicherheit nach den Erkenntnissen von Ledger
Trezor hatte bereits Secure Elements in seine Geräte integriert. Diese spezialisierten Chips schützen PIN-Codes und kryptografische Daten, was es Angreifern erschwert, die Wallets zu manipulieren. Ledger bestätigte dieses Upgrade, wies jedoch auf ein weiteres Risiko im Mikrocontroller hin.
Trezor verfügte über eine Firmware-Integritätsprüfung, um unbefugte Änderungen zu erkennen. Ledger demonstrierte jedoch, dass diese Sicherheitsmaßnahme umgangen werden konnte. Nach der Benachrichtigung durch Ledger hat Trezor umgehend gehandelt und das Problem behoben. Keines der beiden Unternehmen hat detaillierte Informationen über die Art der Lösung veröffentlicht.
Darüber hinaus versicherte Trezor seinen Kunden, dass die in ihren Wallets gespeicherten Vermögenswerte zu keinem Zeitpunkt gefährdet waren. Das Unternehmen erklärte auf X, dass keine Maßnahmen vonseiten der Nutzer erforderlich sind.
Auf die Frage, ob das Problem durch ein Firmware-Update hätte behoben werden können, antwortete Trezor: „Leider nicht.“ Das Unternehmen betonte die Bedeutung eines mehrschichtigen Sicherheitsansatzes und führte aus:
„Nichts ist völlig unknackbar. Aus diesem Grund haben wir bereits starke Schutzmaßnahmen gegen Angriffe aus der Lieferkette implementiert und raten den Nutzern stets, von offiziellen Quellen zu kaufen.“
Ledgers eigene Sicherheitsherausforderungen
Auch Ledger hatte in der Vergangenheit mit Sicherheitsverletzungen zu kämpfen. Im Dezember 2023 kompromittierte ein Angreifer die Connector-Bibliothek von Ledger und erbeutete Kryptowährungen im Wert von 484.000 US-Dollar. Im Jahr 2020 wurden bei einer weiteren Sicherheitsverletzung die Postadressen von etwa 270.000 Ledger-Kunden offengelegt.
Trotz der vergangenen Vorfälle arbeiten beide Unternehmen kontinuierlich an der Verbesserung der Wallet-Sicherheit. Die jüngste Zusammenarbeit zwischen Ledger und Trezor unterstreicht die gemeinsamen Bemühungen, den Schutz für Krypto-Nutzer zu stärken.
