Ledger виявила вразливість в Android, яка дозволяє викрасти seed-фразу криптогаманця за секунди

Команда Donjon компании Ledger обнаружила критическую уязвимость в цепочке безопасной загрузки MediaTek, которая потенциально может позволить извлечь PIN-код устройства и seed-фразы криптокошельков при наличии физического доступа примерно за 45 секунд.

Внутренняя команда безопасности Ledger утверждает, что слабое место в цепочке присуще прошивке Android-телефонов, которые используют процессоры MediaTek. В тесте с доказательством концепции (proof-of-concept) эксплойт восстановил конфиденциальные данные кошельков из приложений, в частности Trust Wallet, Kraken Wallet и Phantom. Согласно заявлению, предоставленному The Block, злоумышленник, который имеет физический доступ к телефону, может подключить его через USB до того, как загрузится операционная система, извлечь криптографические ключи, защищающие полное шифрование диска Android, а затем расшифровать хранилище офлайн.

«Это исследование доказывает то, о чем мы давно предупреждали: смартфоны никогда не создавались как сейфы», — заявил в сообщении технический директор Ledger Чарльз Гийеме.

По словам исследователей, уязвимость потенциально может затронуть примерно 25% Android-телефонов, в частности модели производителей, использующих чипы MediaTek и доверенную среду выполнения Trustonic. Гийеме отметил, что цель публикации исследования — дать индустрии время исправить такие уязвимости до того, как их начнут использовать злоумышленники. Donjon, внутренняя команда Ledger из «белых» хакеров, ранее уже раскрывала уязвимости, влияющие на чипы Android, а также атаки с обходом PIN-кода в конкурирующих кошельках, говорится в заявлении.

«Хотя это исправимо, и мы призываем всех пользователей обновиться до последних исправлений безопасности, предоставленных MediaTek и производителями телефонов, это демонстрирует сложность хранения секретов на небезопасных устройствах. Если ваша криптовалюта находится на телефоне, ее безопасность настолько же сильна, насколько сильно самое слабое звено в аппаратном обеспечении, прошивке или программном обеспечении этого телефона», — объясняет Гийеме.

Отчет появился на фоне того, что злоумышленники продолжают массово атаковать пользовательские кошельки. Инфраструктурные атаки, включая кражи приватных ключей, похищения seed-фраз и захват фронтендов, составили более 80% из $2,1 млрд, похищенных в первой половине 2025 года, согласно отчету аналитической компании блокчейн-разведки TRM Labs. По итогам всего года потери от криптокраж потери от криптокраж превысили $3,41 млрд, свидетельствуют данные Chainalysis. Компания также отметила значительный рост случаев компрометации личных кошельков: их доля выросла с 7,3% общей похищенной стоимости в 2022 году до 44% в 2024-м, что коснулось более 158 000 случаев.