ru
Назад к списку

Ledger и Tangem публично поспорили по поводу взлома кошелька из-за лазерной атаки

source-logo  incrypted.com 9 ч
image
  • Ledger заявил о критической уязвимости аппаратного кошелька Tangem.
  • Последний ответил на обвинения, назвав риск почти нулевым.
  • Речь шла о LFI-атаке.

Исследовательское подразделение Ledger Donjon опубликовало результаты исследования аппаратных кошельков Tangem, заявив о критической уязвимости, которая теоретически позволяет сбросить пароль карты и украсть криптоактивы.

В Tangem ответили, что атака возможна только при физическом доступе к карте, требует лаборатории стоимостью около $250 000, специализированного оборудования и недель работы, поэтому не представляет практической угрозы для большинства пользователей.

Our comment on Ledger Donjon’s latest article. It describes a laser fault injection (LFI), a physical, lab-only attack technique that applies to secure elements in general, not something unique to Tangem.

It’s also worth noting that while Ledger Donjon presents itself as an…

— Tangem (@Tangem) July 9, 2026

В чем заключается уязвимость?

По данным Ledger Donjon, исследователи смогли провести атаку методом лазерного внесения ошибок (Laser Fault Injection, LFI) на чип безопасного элемента Samsung S3D232A, который используется в картах Tangem.

В отчете отмечается, что с помощью одного лазерного импульса удалось обойти проверку состояния восстановления пароля и установить новый пароль без знания предыдущего.

Авторы исследования утверждают:

«Уязвимость не требует знания действующего пароля или резервной карты и не устраняется даже после отключения функции восстановления».

В Ledger Donjon также подчеркнули, что проблема касается всех аппаратных кошельков Tangem, находящихся в обращении, а исправить ее обновлением прошивки невозможно, поскольку устройства не поддерживают механизм обновления firmware.

Впрочем, исследователи отдельно подчеркнули, что атаку невозможно выполнить дистанционно.

Для ее реализации необходимы:

  • физический доступ к карте;
  • лабораторное оборудование стоимостью около $250 000;
  • глубокие знания в сфере аппаратной безопасности;
  • около двух часов на проведение атаки после предварительного исследования конкретной модели.

По словам исследователей, после успешного сброса пароля злоумышленник получает возможность подписывать любые транзакции и вывести все криптоактивы.

Tangem: реальный риск для пользователей практически отсутствует

В Tangem заявили, что публикация Ledger Donjon описывает не уникальную проблему продукта, а общеизвестную категорию физических атак на защищенные микросхемы.

В компании также обратили внимание, что Ledger Donjon является подразделением одного из крупнейших конкурентов Tangem.

В заявлении компании сказано:

«LFI — это физическая атака, которую можно выполнить только в лабораторных условиях. Она не масштабируется, не может быть осуществлена удаленно и оставляет видимые повреждения карты».

В Tangem также подчеркнули, что для успешной эксплуатации необходимы:

  • лаборатория стоимостью более $250 000;
  • редкая экспертиза в сфере аппаратной безопасности;
  • физическое владение конкретной картой;
  • недели подготовки и исследований.

Компания также отметила, что ни один производитель аппаратных кошельков не может гарантировать абсолютную защиту от сложных физических атак.

В Tangem подчеркнули, что наибольшую опасность для владельцев криптоактивов сегодня представляют совсем другие угрозы:

  • фишинговые атаки;
  • вредоносные децентрализованные приложения;
  • мошеннические смарт-контракты;
  • социальная инженерия.

В компании также обратили внимание, что за все время существования аппаратных кошельков не было зафиксировано реальных случаев кражи средств из-за атак типа LFI.

Дискуссия происходит на фоне новых вызовов для безопасности криптоиндустрии

В то же время ряд экспертов из криптосообщества призвал не преувеличивать практический риск выявленной уязвимости. Так, аналитик Nick обратил внимание, что неизменяемая (immutable) прошивка Tangem не имеет механизма обновления, а значит не получает новых потенциальных векторов атак, которые могут появляться после регулярных программных обновлений других устройств.

Подобного мнения придерживаются и другие специалисты. Пользователь платформы X Ишан Перера назвал такую атаку «операцией уровня государственных структур», а инженер под псевдонимом Shivam подчеркнул, что около 99% успешных взломов криптокошельков связаны с фишингом, социальной инженерией или вредоносным программным обеспечением.

По его словам, пользователям гораздо важнее соблюдать базовые правила безопасности — защищать seed-фразу и избегать фишинговых ресурсов, чем переживать из-за чрезвычайно дорогих лабораторных атак.

Публикация Ledger Donjon появилась в период, когда эксперты все чаще предупреждают об усложнении киберугроз для крипторынка.

После того как эксперты заявили, что современные ИИ-инструменты помогают хакерам быстрее находить уязвимости в смарт-контрактах, специалисты призвали криптопроекты регулярно проводить повторные аудиты кода, а не полагаться только на проверку перед запуском.

Кроме того, ранее TRM Labs сообщила, что только за первое полугодие 2026 года криптоиндустрия пережила рекордные 207 хакерских атак, хотя совокупные убытки сократились до $972 млн. В то же время CertiK оценила потери крипторынка от взломов за этот период в $1,32 млрд, отмечая, что злоумышленники все чаще возвращаются к старым или даже закрытым DeFi-протоколам.

incrypted.com