Аппаратный кошелек KeepKey имеет критические уязвимости

Специалисты по безопасности криптобиржи Kraken нашли простой способ извлечь ключевую мнемоническую фразу из популярного аппаратного кошелька KeepKey.

кошелек KeepKey имеет критические уязвимости - Аппаратный кошелек KeepKey имеет критические уязвимости

Эксперты смогли получить ключевую фразу, имея физический доступ к кошельку, не более 15 минут. Эксплойт использует скачки напряжения для записи сид-фразы с использованием специального оборудования.

Считается, что взлом может быть успешным, если выполняется хорошо подготовленным человеком. Однако, некоторые оценки утверждают, что любой может создать такое записывающее устройство, способное извлекать сид-фразы, всего за 75 долларов.

Используя специальные устройства, хакеры могут не только перехватить сид-фразу кошелька KeepKey, но также могут расшифровать ее, получив доступ к вашим монетам. Но если сид-фраза защищена шифрованием, как вредоносное ПО может его взломать?

Правильный вопрос здесь — где появляется еще один недостаток безопасности. Похоже, что кошелек имеет пароль от 1 до 9 цифр. Как вы можете предположить, такой пароль легко подобрать, если вы хороший хакер, использующий программное обеспечение для перебора всех возможных паролей (брутфорса). Согласно исследованию:

Более того, поскольку ключ шифрования напрямую получен из ПИН-кода пользователя, пространство ключей невелико, особенно для 4-значных ПИН-кодов. Следовательно, ключ шифрования может быть взломан за доли секунды на любом современном ПК, что позволяет злоумышленнику восстановить незашифрованный PIN-код и начальное значение данных.

Микроконтроллер STM32 — уязвимость KeepKey

Атака может быть успешна не только из-за слабых паролей. Другой эксплойт провоцирует дефектное устройство микроконтроллера внутри самого кошелька. Таким образом, исследователи Kraken смогли подключиться к нему и изменить последовательность загрузки.

Специалисты утверждают, что разработчики аппаратных кошельков KeepKey должны прекратить производство кошельков. Kraken предлагает провести компании полное переосмысление модели безопасности.

Советы, чтобы защитить себя от злоумышленников

В своем кошельке KeepKey включите мнемоническую ключевую фразу BIP39 и запишите слова на листе бумаги. Мнемоника такого рода не будет храниться в устройстве, поэтому она станет попросту неуязвима для атаки. Некоторые считают эту фразу немного сложной для использования. Однако, когда дело доходит до хранения сотен или даже тысяч долларов в криптовалютном кошельке, вы быстро учитесь.

Хотя команда, стоящая за кошельком, рассматривает пути решения такой неожиданной проблемы, вы можете подумать о защите своего кошелька от других людей. Инженеры KeepKey уже знают о подобных атаках. У них просто есть стандартное представление о том, что их кошелек настроен для защиты ключей от удаленного доступа, а не от физического.

Сведения об ошибках и реакция KeepKey

Kraken предупредил общественность в своем пресс-релизе, что они отправили подробности об ошибке в KeepKey 11 сентября 2019 года. Теперь они публикуют информацию для общественности, чтобы владельцы KeepKey могли предпринять некоторые шаги для защиты своих денег.

Это несколько странно, потому что такой вектор атаки — тот, от которого пользователи кошелька нуждаются в защите. Когда они посещают кафе, бар или какой-нибудь рыболовный клуб, безопасность должна оставаться прежде всего. Вы никогда не знаете, кто захочет украсть устройство, независимо от того, какой это кошелек: TREZOR, Open Dime, KeepKey, Ledger, Ledger Nano S, Digital Bitbox, Cool Wallet S, Satochip. Однако, неоспоримым является то, что даже при краже, устройство должно сохранить криптовалюту.



Источник

Зацените вот что

Bitcoin Lightning продолжает процветать не смотря на медвежий рынок

Bitcoin Lightning больше, чем кажется

Возможно, вы слышали о сети Lightning, но не знаете как сильно она развилась. Кто эти …

GSR и Canaan запустят деривативы для майнеров

Центральная Азия станет новым центром майнинга?

Крипто-сообщество полнится слухами о том, что китайские майнеры покидают Иран, переезжая в Казахстан, Узбекистан и Кыргызстан. …

Заседание Верховного суда Индии может стать драйвером роста криптовалют

Центральный банк Австралии использовал блокчейн Ethereum для тестового запуска суверенной криптовалюты

В 2019-м году планы Facebook и Китая по запуску криптовалют, привязанных к фиату, заставили другие …