Как утверждают исследователи из Kraken Security Labs, криптокошелек KeepKey может быть взломан всего за 15 минут, если у хакеров появится к нему физический доступ.
Об этой уязвимости было объявлено ещё 11 сентября этого года, и теперь Kraken публикует ее, чтобы позволить криптосообществу защитить себя.
В своем блоге Kraken Security Labs рассказывает, что с помощью атаки, именуемой «сбой напряжения», которая извлекает зашифрованное начальное число, используемое для доступа к криптовалютам, хранящимся на платформе KeepKey, хакеры могут взломать 1-9-значный PIN-код, заданный пользователем.
По оценкам специалистов из Kraken, подходящее устройство, которое можно использовать для атак по принципу «скачков напряжения», можно создать всего за 75 долларов. Эти атаки управляют питанием микроконтроллера, используемого в самом кошельке KeepKey, чтобы затем нацелить программное обеспечение, выполняемое при загрузке KeepKey, что позволяет использовать грубую силу позже.
В Kraken отметили, что атака, действительно требующая технических знаний, может быть выполнена примерно за 15 минут. Так как это атака на микроконтроллер, используемый в KeepKey, Kraken Security Labs отмечает, что вендер компании − криптообменник ShapeShift − для обновления своей прошивки пока сделать ничего не может.
В предупреждающем сообщении компании указано:
«Атака использует недостатки, присущие микроконтроллеру, который используется в KeepKey […]. Самое важное, что это исследование демонстрирует, что безопасность кошелька, такого как KeepKey, не должна основываться исключительно на безопасности микроконтроллера STM32F205».
Чтобы оставаться в безопасности, Kraken Security Labs уточнила, что пользователям криптовалюты следует избегать предоставления кому-либо физического доступа к своему кошельку KeepKey и включать свои парольные фразы BIP39 с клиентом KeepKey, поскольку они не хранятся на устройстве.
Представители лаборатории безопасности Kraken рассказывают, что KeepKey знает об этих типах атак, но утверждают, что их первостепенной задачей становится «защита пользовательских ключей от удаленных атак».
- Биткоин: где купить? Обзор некоторых платформ для покупки криптовалюты
- Cryptonica – лучший информационный портал о криптовалюте
- Прогноз курса Ethereum: опасения регулирующих органов по поводу будущего ETH стремительно растет
- Обмен юсдт на российские рубли
- Выбор интернет-казино с минимальным депозитом и невысокими ставками
iMag.one - Самые важные новости достойные вашего внимания из более чем 300 изданий!