Pochi giorni fa il fornitore di soluzioni di custodia per criptovalute Ledger, ha subito un attacco alla library del connect kit che ha messo in pericolo i fondi di milioni di utenti, sventata grazie ad un intervento tempestivo del team della società che ha installato un patch di fixing.
Dopo questo evento molti utenti del mondo crypto, scontenti della mancanza di norme precauzionali in casa Ledger che avrebbero potuto evitare l’exploit a monte, hanno iniziato ad interessarsi sempre più al competitor Trezor, anch’esso produttore di wallet non custodiali.
In questo articolo esploriamo Trezor, tutte le sue funzionalità ed i suoi standard di sicurezza.
Summary
Bufera Ledger: exploit alla library del connect kit mette a rischio i crypto wallet di milioni di utenti
Giovedì 14 dicembre su X si è scatenata una shitstorm contro il fornitore di wallet crypto Ledger, che ha spinto molti utenti a considerare di spostarsi sul concorrente Trezor.
Tutto è iniziato quando alle ore 11 italiane si è scoperto che l’account Github di ex dipendente di Ledger è stato compromesso (verosimilmente tramite attacco phishing) permettendo a soggetti malintenzionati di installare una versione malevole del connect kit direttamente sul repository.
Il connect kit è un collegamento che permette agli utilizzatori di piattaforme decentralizzate di connettere il proprio Ledger con varie dapp, e solitamente si apre non appena si visita un sito web che presenta la connessione web3.
Il problema in questo caso è che il codice malevolo è stato diffuso sui CDN e veniva fornito a tutti quelli che interagivano con la libreria wallet connect di ledger, ovvero il 99% di tutte le dapp esistenti. Anche Revoke.Cash è stato colpito.
Chiunque il 14 dicembre dalle ore 11 sino alle 17 si è connesso con il proprio ledger tramite connect kit ha subito un hack che in poche parole faceva apparire un pop up (come nella foto seguente) che, qualora cliccato, avrebbe portato allo svuotamento del crypto wallet.
Al momento la situazione sembra essere sotto controllo, con il team di Ledger che ha installato una nuova versione del connector kit con una patch che risolve il danno.
Ad ogni modo ci sono ancora molti dubbi sui potenziali risvolti che questo exploit possa aver portato all’interno della community crittografica.
In primo luogo poiché d’ora in poi gli sviluppatori di dapp sono a rischio se implementano ancora una versione non aggiornata della libreria Ledger, e se non hanno preso provvedimenti dopo il grave incidente potrebbero danneggiare tutti gli utenti che utilizzano l’applicazione.
Inoltre, non sappiamo se il bug possa aver propagato malware all’interno dei device dei soggetti che hanno visitato dapp il 14 dicembre, pur non cadendo nella trappola del pop up malevolo.
La community dei white hack e Ledger stessa hanno risolto velocemente il burrascoso exploit riuscendo a contenere i danni al massimo, ma i rischi sono ancora dietro l’angolo e molti utenti stanno decidendo di abbandonare la casa di produzione del wallet per passare al competitor Trezor.
Piccolo suggerimento dopo l’accaduto: come suggerito dall’account X “Mudit Gupta” e successivamente anche da “Blackie” (che ha avuto un ruolo fondamentale nel diffondere velocemente la news all’interno della community italiana), controllate se la versione del connect kit sulla rete cdn sia la “1.1.8”, ed in ogni caso cancellate tutti i dati di navigazione su chrome come cookie e cache.
Alternativa Trezor: cos’è e come funziona questo wallet? più sicuro del Ledger?
Come accennato, dopo il grave incidente capitato in casa Ledger, molti utenti hanno iniziato a spostarsi sul wallet crypto Trezor con l’idea che quest’ultimo sia più sicuro del concorrente.
Vediamo dunque quali sono le principali caratteristiche del Trezor e in cosa differisce dal principale competitor.
Ricordiamo comunque che l’expoit di cui abbiamo parlato non riguarda il dispositivo fisico in sé, ma piuttosto una pratica ambigua per cui un ex dipendente Ledger possa pubblicare in CDN un codice malevolo su Github,
Innanzitutto, chiariamo che Trezor è un wallet hardware non custodiale, che serve per detenere crypto senza affidare le chiavi private ad alcun ente di terze parti.
Funziona allo stesso modo di altre soluzioni non custodiali, dove una volta avviato il dispositivo si può scegliere se recuperare un wallet da una seed phrase già esistente o inizializzare un account da zero.
La seed phrase, insieme al PIN del dispositivo rappresentano le due sicurezze principali dell’hardware wallet che protegge l’utente da smarrimento, furto o da alcuni attacchi informatici.
Esistono 3 diversi modelli Trezor (model one, safe 3 e model T) ognuno dei quali supporta oltre 800 coin o token e permette di inviare, trasferire o custodire asset.
Il model one funziona tramite cavo USB mentre gli altri due tramite USB-C.
il model T, ovvero il più costoso ed il più recente, presenta un touchscreen da 1,54 pollici mentre gli altri hanno il “two-botton pad”.
Tutti è tre hanno un codice che è open source e rappresenta una delle peculiarità contraddistintive di Trezor, che punta molto sul fattore sicurezza, trasparenza e privacy.
Sui 3 crypto wallet è possibile inoltre collegare il software di navigazione anonima Tor che consente di proteggersi da qualche pericolo del web.
Passiamo ora alle differenze con il Ledger:
Rispetto al Ledger, il wallet Trezor ha un codice aperto (open source) il che rappresenta un biglietto di presentazione molto più invitante rispetto a quello del primo, con codice chiuso di cui tutti “devono fidarsi”.
Il contesto dell’open source permette di tenere sotto controllo bug e risolvere problematiche molto più velocemente di qualsiasi sistema confinato privatamente.
Un altra differenza riguarda il noto “secure element” ovvero un vero e proprio chip presente su TUTTI i dispositivi Ledger (mentre è presente solo sul safe 3 di Trezor) e consiste in una misura di sicurezza che impedisce a soggetti malintenzionati di ottenere le chiavi private del wallet in caso di furto del device.
Le chiavi private non lasciano mai il secure element è questo è un grande punto di forza del Ledger.
Sul tema dei materiali, anche qui Ledger ha la meglio contro Trezor: il metallo del primo risulta molto più resistente della plastica implicata nella produzione del secono..
Le applicazioni installabili sono le stesse e sono disponibili in entrambi i casi su Ios e Android.
Infine sul fronte reputazione del brand, possiamo dire che Ledger dopo l’ultimo scivolone ha aggravato una situazione già di per sé critica quando si parla di fiducia nel mondo crypto.
La società aveva già fatto parlare male di sé per questioni controverse (sulla funzione “Recover” proposta qualche mese fa) ma dopo l’ultimo grave incidente che sarebbe potuto essere evitato se ci fossero stati accorgimenti più professionali, è ovvio che non ci sono più i presupposti per potersi fidare.
Trezor su questo fronte ha sempre dimostrato di essere focalizzata sulla sicurezza dei suoi dispositivi e sulla trasparenza delle proprie operazioni.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://cryptonomist.ch/2023/12/16/cresce-interesse-wallet-crypto-trezor-exploit-ledger/&media=https://cryptonomist.ch/wp-content/uploads/2023/12/trezor-crypto-wallet.jpg&description="Grazie" all'exploit subito ai danni di Ledger, i crypto wallet di Trezor hanno registrato un notevole aumento di interesse.){kind=link}