Krypto-Wallets sollen vor allem eines: Bitcoin, Ethereum, Ripple und Konsorten sicher aufbewahren. Dennoch lassen es sich zwei der größten Anbieter für selbige nicht nehmen, sich gegenseitig zu diskreditieren.

So begann am 11. März die Schlammschlacht zwischen Ledger und Trezor. Wie wir berichteten, bemängelte der Bitcoin-Wallet-Hersteller Ledger einige Sicherheitslücken der Konkurrenz. Dabei sprachen sie mehrere Probleme an, die Trezor in ein schlechtes Licht rücken sollten: das Sicherheitssiegel, der Pin-Code und die Datensicherheit. In einem Blogeintrag meldet sich Trezor nun zurück. Hier die Antworten im Überblick:

Supply Chain Attack

Zunächst bemängelte Ledger, dass Angreifer das Sicherheitssiegel von Trezor einfach ablösen könnten. Danach wären sie in der Lage, das Gerät zu präparieren und das alte Sicherheitssiegel wieder anzubringen. Anschließend sei es möglich, das Gerät wieder an Trezor zurückzusenden. Dadurch könne man mit Schadsoftware präparierte Geräte unter Bitcoin-Hodler mischen. Die simple Anwort von Trezor:

Es gibt einfach keine Möglichkeit, dass sich Hardware selbst überprüfen und seine Integrität bestätigen kann.

Dennoch werde alle Hardware von Trezor in der EU hergestellt, „wo wir den Herstellungsprozess genau kontrollieren.“

Software Crappy Attack

Die von Trezor als „beschissener Software-Angriff“ bezeichnete Möglichkeit, an den Quellcode zu kommen, wurde mit der aktuellsten Version des Geräts behoben. Die Antwort von Trezor fällt daher knapp aus:

Auch wenn man diese Schwachstellen nicht ausbeuten konnte: Wir haben sie trotzdem behoben. Wir möchten uns an dieser Stelle bei Ledger bedanken, dass sie uns bestätigen, dass der Quellcode von Trezor qualitativ hochwertig ist.

Side Channel Attack PIN

Auch die Möglichkeit, die PINs mechanisch separat auszulesen, sei bereits behoben:

Der Side-Channel-Angriff auf die PIN auf dem Trezor One war wirklich beeindruckend und wir müssen den Aufwand von Ledger loben. Gleichzeitig bedanken wir uns bei Ledger, dass sie uns auf dieses Problem aufmerksam machen. Auch diesen Angriffsvektor […] haben wir entfernt.

Side Channel Attack Scalar Multiplication

Bei diesem Angriff geht man davon aus, dass die Angreifer physischen Zugriff auf PIN, Passwort und Gerät der Nutzer haben. Logische Schlussfolgerung:

Wenn die Angreifer dies alles besitzen, können sie ohnehin alle Einlagen auf dem Gerät entwenden.

Surprise Concluding Attack

Hier hat sich Ledger laut Trezor komplett vergriffen. Denn das Problem, das hier beschrieben werde, betreffe keinesfalls nur Trezor, sondern vielmehr die gesamte Microchip-Industrie. Daher sei es für Trezor auch nicht möglich, spezifischere Informationen herauszugeben, außer dass es sich um einen sehr aufwändigen Angriff handeln würde:

[…] dieser Angriffsvektor ist ressourcenintensiv, benötigt Labor-Equipment, um die Microchips zu manipulieren und tiefgreifende Expertise auf dem Gebiet.

Dennoch, so der Hinweis von Trezor, sei es möglich, diesen Angriffsvektor zu umgehen, indem man sich mit Passphrases ausstatte.

So kommt der Hardware-Wallet-Hersteller für Bitcoin, Ethereum, Ripple & Co. auch zu folgendem Schluss:

Diese ganze Episode ist eine wertvolle Lektion für uns. Wir müssen etwas kommunizieren, was wir bereits wissen: Keine Hardware ist unhackbar. Und je nachdem, welches eure Sicherheitslevel sind, gibt es Tools, die ihr nutzen könnt, um Bedrohungen abzumildern.

Kampf der Bitcoin Wallets lässt Professionalität vermissen

Letztlich zeigt der Kampf der Bitcoin Wallets vor allem eines: Dass beiden Hardware-Herstellern ein gewisses Maß an Professionalität abgeht. Da ist auf der einen Seite Ledger, der den Kampf erst entfacht und auf einer Konferenz beginnt, den Gegner öffentlich zu diskreditieren. Auf der anderen Seite argumentiert ein sichtlich eingeschnapptes Trezor-Team, dass man es mit „beschissenen Software-Angriffen“ [software crappy attack] zu tun habe und schießt teilweise ebenso unreif zurück, wie es angegriffen wurde.

Fazit: Keine Wallet ist unhackbar, das kann man jedoch auch professioneller kommunizieren.

Blockchain- & Fintech-JobsAuf der Suche nach einer neuen Herausforderung? In unserer Jobbörse findet Ihr aktuelle Stellenanzeigen von Blockchain- & Fintech-Unternehmen.

https://www.btc-echo.de