Ledger vs. Trezor: Hledání ideální kryptopeněženky

​Ledger a Trezor jsou již mnoho let nejoblíbenějšími kryptoměnovými peněženkami. Žádná z těchto značek však není dokonalá a u obou byly opakovaně zjištěny zranitelnosti. Čím více takových incidentů se objevuje, tím častěji vyvstává otázka: kterou peněženku lze skutečně považovat za spolehlivou?

Trezor: Útoky přes čipy, webové stránky a sociální sítě

Další důvod k diskusi o bezpečnosti Trezoru přišel po zprávě týmu Donjon, výzkumného týmu společnosti Ledger. Jeho specialisté našli zranitelnost v čipu TROPIC1 použitém v peněžence Trezor Safe 7. Útok vyžadoval fyzický přístup k čipu, laboratorní vybavení a přesné laserové ozáření. Trezor uvedl, že prostředky uživatelů jsou v bezpečí, protože TROPIC1 je pouze jednou ze tří vrstev ochrany zařízení.

Loading...

Tweet byl autorem smazán.

Ale my jsme všechno uložili 🙂.

Nebyla to první podobná epizoda. V březnu 2025 informoval Ledger Donjon o zranitelnosti v Trezor Safe 3. Šlo o útok v případě fyzické krádeže peněženky: problém souvisel s mikrokontrolérem, který spolupracuje s chráněným čipem. Trezor tehdy uvedl, že Safe 5 se tento problém netýká a že výzkumníci nebyli schopni z testovaného zařízení extrahovat soukromé klíče ani PIN kódy.

Došlo také k útokům nikoli na samotné zařízení, ale na uživatele Trezoru. V roce 2024 společnost varovala před phishingovou kampaní: útočníci využili kontaktní formulář na oficiálních stránkách a rozesílali e-maily, které vypadaly jako odpovědi podpory. Trezor zdůraznil, že nedošlo k žádnému úniku e-mailových adres, ale připomněl uživatelům hlavní pravidlo: společnost nikdy nežádá o zálohu peněženky ani o seed phrase.

V lednu 2024 se objevily zprávy o neoprávněném přístupu k portálu podpory třetí strany. V březnu 2024 útočník kompromitoval účet společnosti na síti X a zveřejnil falešné předprodeje v síti Solana. Tyto případy neznamenaly, že by byly přímo hacknuty samotné hardwarové peněženky, ale ukázaly, že útočníci se mohou zaměřit nejen na zařízení, ale i na komunikační kanály mezi značkou a uživateli.

Ledger: Chráněná peněženka, zranitelný ekosystém

Ledger má také k dokonalosti daleko. Značka sází na chráněné čipy navržené tak, aby izolovaly soukromé klíče uvnitř zařízení. Poslední roky však ukázaly, že útočníci se mohou zaměřit na víc než jen na samotnou peněženku. Zranitelnými se mohou stát aplikace, partneři, knihovny pro decentralizované služby i uživatelé dostávající falešné e-maily od podvodníků.

V lednu 2026 čelil Ledger úniku osobních údajů zákazníků prostřednictvím svého platebního partnera Global-e. Podle blockchainového vyšetřovatele ZachXBT odhalila zranitelnost u poskytovatele třetí strany kontaktní údaje uživatelů Ledgeru. V dopise dotčeným zákazníkům společnost Global-e uvedla, že v části své sítě zjistila podezřelou aktivitu. Společnost potvrdila neoprávněný přístup k některým údajům, včetně jmen a kontaktních informací zákazníků.

Loading...

Tweet byl autorem smazán.

Ale my jsme všechno uložili 🙂.

V roce 2024 byli majitelé Ledgeru zasaženi masivním phishingovým útokem. Podvodníci rozesílali e-maily jménem společnosti a tvrdili, že došlo k úniku dat. Uživatelé byli požádáni, aby „ověřili“ svou seed phrase na falešné webové stránce. Stránka vypadala jako oficiální služba Ledgeru, ale byla vytvořena za účelem krádeže dat. Pokud osoba zadala nesprávnou frázi, stránka zobrazila chybu a požádala ji o opakování, dokud podvodníci neobdrželi správnou kombinaci.

V listopadu 2024 byla v Microsoft Store nalezena falešná aplikace Ledger Live. Uživatelé si ji stáhli v domnění, že instalují oficiální rozhraní pro práci se svou peněženkou. Podle zpráv v médiích umožnila falešná aplikace útočníkům ukrást 768 000 dolarů.

Další vážná epizoda se stala v prosinci 2023. Tehdy byla kompromitována knihovna Ledger Connect Kit používaná decentralizovanými aplikacemi. Ledger uvedl, že příčinou byl phishingový útok na bývalého zaměstnance: útočník získal možnost nahrát škodlivý soubor do správce balíčků JavaScript. Podle generálního ředitele společnosti Ledger Pascala Gauthiera společnost společně s WalletConnect opravila exploit asi 40 minut po jeho zjištění a kompromitovanou knihovnu nahradila.

Dokonalá peněženka neexistuje

Příběhy Trezoru a Ledgeru ukazují, že zranitelnosti mohou být velmi odlišné. V jednom případě výzkumníci testují čip laserem. V jiném podvodníci posílají e-maily, vytvářejí falešné webové stránky nebo nahrávají falešnou aplikaci do obchodu. Někdy je problém uvnitř zařízení, jindy v okolních službách a někdy v důvěře uživatele ve známou značku.

Na trhu jsou i další hardwarové peněženky, například zařízení od společností Coinkite, BitBox, Keystone nebo Tangem. Některé se zaměřují pouze na Bitcoin, jiné sázejí na karty, QR kódy, otevřený kód nebo nulové připojení k počítači. Žádný z těchto přístupů však neodstraňuje všechna rizika najednou. Čím je zařízení složitější a jeho ekosystém širší, tím více míst se objevuje, kde může vzniknout slabý článek.

V této situaci by ideální kryptopeněženka měla chránit nejen soukromé klíče uvnitř zařízení. Měla by uživateli přesně ukazovat, co podepisuje, vyhýbat se sběru zbytečných osobních údajů, mít přehledný systém aktualizací, procházet nezávislými audity a být odolná vůči fyzickým útokům. Ale ani to nestačí, pokud majitel zadá svou seed phrase na falešné webové stránce nebo si stáhne falešnou aplikaci.

Proto nelze spolehlivost peněženky redukovat na jednu značku nebo jeden čip. Ledger je silněji spojován s hardwarovou ochranou a uzavřeným chráněným čipem. Trezor je spojován s otevřeností a ověřitelností. Ostatní výrobci nabízejí vlastní kompromisy. Ve skutečnosti nejbezpečnější peněženka není ta, u které nebyly nikdy nalezeny zranitelnosti, ale ta, kde jsou rizika předem pochopena, rychle opravena a kde jedna chyba uživatele neznamená ztrátu všech prostředků.