Ledger vs. Trezor: Az ideális kriptotárca keresése

A Ledger és a Trezor hosszú évek óta a legnépszerűbb kriptovaluta-tárcák. Azonban egyik márka sem tökéletes, és mindkettőnél többször is találtak már sebezhetőséget. Minél több ilyen incidens lát napvilágot, annál gyakrabban merül fel a kérdés: melyik tárca tekinthető valóban megbízhatónak?

Trezor: Támadások chipeken, weboldalon és közösségi médián keresztül

Újabb okot adott a Trezor biztonságáról szóló vitára a Ledger kutatócsoportja, a Donjon jelentése. Szakembereik sebezhetőséget találtak a Trezor Safe 7 tárcában használt TROPIC1 chipben. A támadáshoz fizikai hozzáférésre volt szükség a chiphez, laboratóriumi felszerelésre és precíz lézeres beavatkozásra. A Trezor közölte, hogy a felhasználók pénze biztonságban van, mivel a TROPIC1 csak egy az eszköz három védelmi rétege közül.

Loading...

A tweetet a szerző törölte.

De mi mindent elmentettünk 🙂.

Ez nem az első hasonló eset volt. 2025 márciusában a Ledger Donjon sebezhetőséget jelentett a Trezor Safe 3-nál. Ez a tárca fizikai ellopása esetén végrehajtható támadásra vonatkozott: a probléma a védett chippel együttműködő mikrokontrollerhez kapcsolódott. A Trezor akkor azt nyilatkozta, hogy a Safe 5-öt nem érinti a probléma, és a kutatók nem tudtak privát kulcsokat vagy PIN-kódokat kinyerni a tesztelt eszközből.

Történtek támadások nem magát az eszközt, hanem a Trezor felhasználóit célozva is. 2024-ben a cég adathalász kampányra figyelmeztetett: a támadók a hivatalos weboldal kapcsolatfelvételi űrlapját használták, és olyan e-maileket küldtek, amelyek ügyfélszolgálati válasznak tűntek. A Trezor hangsúlyozta, hogy e-mail címek nem szivárogtak ki, de emlékeztette a felhasználókat a fő szabályra: a cég soha nem kéri a tárca biztonsági mentését vagy a seed phrase-t.

2024 januárjában jelentések érkeztek egy harmadik fél által üzemeltetett ügyfélszolgálati portálhoz való jogosulatlan hozzáférésről. 2024 márciusában egy támadó feltörte a cég X-fiókját, és hamis előértékesítéseket tett közzé a Solana hálózaton. Ezek az esetek nem azt jelentették, hogy magukat a hardveres tárcákat közvetlenül feltörték volna, de megmutatták, hogy a támadók nemcsak az eszközt, hanem a márka és a felhasználók közötti kommunikációs csatornákat is célba vehetik.

Ledger: Védett tárca, sebezhető ökoszisztéma

A Ledger sem tökéletes. A márka védett chipekre támaszkodik, amelyeket a privát kulcsok eszközön belüli izolálására terveztek. Az elmúlt évek azonban megmutatták, hogy a támadók nemcsak a tárcát célozhatják meg. Alkalmazások, partnerek, decentralizált szolgáltatások könyvtárai és a csalóktól hamis e-maileket kapó felhasználók mind sebezhetővé válhatnak.

2026 januárjában a Ledger ügyfeleinek személyes adatai szivárogtak ki fizetési partnere, a Global-e révén. ZachXBT blockchain-nyomozó szerint a harmadik fél szolgáltatónál lévő sebezhetőség miatt Ledger-felhasználók elérhetőségei kerültek nyilvánosságra. Az érintett ügyfeleknek küldött levélben a Global-e közölte, hogy gyanús tevékenységet észlelt hálózatának egy részén. A cég megerősítette a jogosulatlan hozzáférést bizonyos adatokhoz, beleértve a neveket és az ügyfelek elérhetőségeit.

Loading...

A tweetet a szerző törölte.

De mi mindent elmentettünk 🙂.

2024-ben a Ledger-tulajdonosokat tömeges adathalász támadás érte. A csalók a cég nevében küldtek e-maileket, azt állítva, hogy adatszivárgás történt. A felhasználókat arra kérték, hogy „hitelesítsék” seed phrase-üket egy hamis weboldalon. Az oldal hivatalos Ledger-szolgáltatásnak tűnt, de adatlopásra hozták létre. Ha valaki helytelen kifejezést adott meg, az oldal hibát jelzett, és újrapróbálkozást kért, amíg a csalók meg nem kapták a helyes kombinációt.

2024 novemberében egy hamis Ledger Live alkalmazást találtak a Microsoft Store-ban. A felhasználók abban a hitben töltötték le, hogy a tárcájukhoz tartozó hivatalos interfészt telepítik. Sajtóhírek szerint a hamis alkalmazás lehetővé tette a támadók számára 768 000 dollár ellopását.

Egy másik súlyos eset 2023 decemberében történt. Akkor a decentralizált alkalmazások által használt Ledger Connect Kit könyvtárat törték fel. A Ledger közölte, hogy az ok egy korábbi alkalmazott elleni adathalász támadás volt: a támadó lehetőséget nyert egy kártékony fájl feltöltésére egy JavaScript csomagkezelőbe. Pascal Gauthier, a Ledger vezérigazgatója szerint a cég a WalletConnecttel közösen a felfedezés után körülbelül 40 perccel kijavította a hibát és lecserélte a kompromittált könyvtárat.

Nincs tökéletes tárca

A Trezor és a Ledger történetei azt mutatják, hogy a sebezhetőségek nagyon eltérőek lehetnek. Az egyik esetben a kutatók lézerrel tesztelnek egy chipet. A másikban a csalók e-maileket küldenek, hamis weboldalakat hoznak létre, vagy hamis alkalmazást töltenek fel egy áruházba. Néha a probléma az eszközön belül van, néha a körülötte lévő szolgáltatásokban, néha pedig a felhasználó egy ismert márkába vetett bizalmában.

Vannak más hardveres tárcák is a piacon, például a Coinkite, a BitBox, a Keystone vagy a Tangem eszközei. Némelyik csak a Bitcoinra összpontosít, míg mások kártyákra, QR-kódokra, nyílt forráskódra vagy a számítógépes kapcsolat hiányára építenek. De ezen megközelítések egyike sem szünteti meg egyszerre az összes kockázatot. Minél összetettebb az eszköz és minél szélesebb az ökoszisztémája, annál több helyen jelenhet meg gyenge láncszem.

Ebben a helyzetben az ideális kriptotárcának nemcsak a privát kulcsokat kell védenie az eszközön belül. Pontosan meg kell mutatnia a felhasználónak, hogy mit ír alá, kerülnie kell a felesleges személyes adatok gyűjtését, világos frissítési rendszerrel kell rendelkeznie, független auditokon kell átesnie, és ellenállónak kell lennie a fizikai támadásokkal szemben. De még ez sem elég, ha a tulajdonos egy hamis weboldalon adja meg a seed phrase-ét, vagy hamis alkalmazást tölt le.

Ezért a tárcák megbízhatósága nem szűkíthető le egy márkára vagy egy chipre. A Ledger erősebben kötődik a hardveres védelemhez és a zárt, védett chiphez. A Trezor a nyitottsággal és az ellenőrizhetőséggel párosul. Más gyártók saját kompromisszumokat kínálnak. Valójában nem az a legbiztonságosabb tárca, amelyben soha nem találtak sebezhetőséget, hanem az, ahol a kockázatokat előre felismerik, gyorsan javítják, és ahol egyetlen felhasználói hiba nem vezet az összes forrás elvesztéséhez.