Загрузка...
Как утверждают специалисты Kraken Security Labs, аппаратный криптокошелёк KeepKey может быть взломан всего за 15 минут, конечно, при наличие у хакера физического доступа к устройству.
В своём блоге Kraken Security Labs рассказывает, что с помощью атаки «сбой напряжения», которая извлекает зашифрованные сид-слова для получения доступа к криптоактивам на устройстве KeepKey, хакеры получают возможность подобрать PIN-код пользователя (число от 1 до 9 знаков). С этим легко справится брутфорс, атака «грубой силы», основанная на подборе.
По оценкам Kraken, изготовление устройства для атак «сбой напряжения» обойдётся хакерам в $ 75. Меняя напряжение в микроконтроллере KeepKey, они модифицируют биты инструкций, которые создают защищённые зоны (анклавы) для хранения конфиденциальных данных в адресном пространстве. Это приводит к возникновению ошибок, и данные, в том числе сид-слова, покидают защищённый анклав. Далее, уже на программном уровне, злоумышленники считывают их из открытого адресного пространства, после чего подбирают PIN.
Несомненно, атака требует технических знаний, но выполнить её можно достаточно быстро — всего за 15 минут. Так как манипуляциям подвергается сам микроконтроллер, усилия ShapeShift, вендора кошелька KeepKey, по созданию новой прошивки не принесут никакого результата.
«Атака использует уязвимость микроконтроллера KeepKey… Исследование показывает, что безопасность таких кошельков не должна зависеть исключительно от микроконтроллера STM32F205», — написано в посте Kraken.
В Kraken Security Labs советуют пользователям никому не передавать свои устройства, а для BIP39 паролей использовать клиент KeepKey. В этом случае они не будут храниться на устройстве, соответственно, не будут уязвимы для атаки.
Считается, что в KeepKey знают об этих типах атак, но считают, что их задача состоит только в «защите ключи от удалённых атак». Об уязвимости микроконтроллера стало известно ещё 11 сентября этого года, поэтому в Kraken решили опубликовать пост в блоге, рассчитывая привлечь внимание криптосообщества для устранения проблемы.
Информация на сайте носит исключительно информационный и образовательный характер и не является инвестиционной рекомендацией или финансовым советом. Криптовалюты и цифровые активы связаны с высоким уровнем риска, включая возможную потерю капитала. Редакция не несёт ответственности за решения, принятые на основе опубликованных материалов. Перед принятием инвестиционных решений рекомендуется проводить собственное исследование (DYOR). Ознакомиться с редакционной политикой https://happycoin.club/about/
