Исследователи по безопасности требуют вознаграждение за взлом «невзламываемого» кошелька Bitfi: что дальше?

Размер обещанного вознаграждения второй баунти-программы составляет $10 000. 

Группа исследователей заявляет о взломе кошелька Bitfi, и все требования для получения вознаграждения соблюдены. Это устройство для хранения денежных средств в виде цифровых монет позиционируется как «первый в мире невзламываемый девайс». Эндрю Тирни (Andrew Tierney), консультант по вопросам безопасности Pen Test Partners, заявил об этом на своей Twitter-страничке. В криптовалютном мире он известен под именем cybergibbons.

Oh. pic.twitter.com/ROH9X6kD0H

— Cybergibbons (@cybergibbons) August 13, 2018

Джон МакАфи, который занимает должность исполнительного председателя Bitfi, объявил, что готов заплатить $250 000 хакеру, сумевшему взломать устройство. Сумма вознаграждения составляла $100 000, однако со временем ее размер был увеличен, чтобы подчеркнуть тщетность попыток обнаружить уязвимость в существующей системе безопасности Bitfi. Затем Bitfi запустил еще одну баунти-программу, но вознаграждение уменьшилось до $10 000.

https://twitter.com/Bitfi6/status/1025843741041586177

Bitfi представляет собой физическое устройство, или аппаратный кошелек, который поддерживает неограниченное количество криптовалют. Bitfi считается аппаратным кошельком с «полностью открытым исходным кодом», что означает, что пользователь контролирует свои средства даже после того, как производитель кошелька прекращает свое существование.

Oh so funny John. It is obviously not a phone but a 3.9” tablet with touchscreen. It doesn’t even have a speaker so what on earth are you talking about? Since you claim it’s a phone, why don’t you try to make a call on it and let us know how it goes.

— hgtp://Bitfi (@TheBitfi) July 31, 2018

Попытки взломать кошелек были, и даже несколько. Однако команда разработчиков заверяет, что ни один из хакеров не выполнил условия баунти-программы, согласно которой и предполагается выплата вознаграждения. Группа исследователей заявляет, что все условия второй баунти-программы – здесь – соблюдены, и готова получить обещанный гонорар. Исследователи могут модифицировать устройство, подключиться к серверу и отправлять конфиденциальные данные через девайс. Twitter-пользователи, которые сообщают о взломе устройства, могут отправлять подписанную транзакцию. Они отправили seed-ключи и ключевую фразу из устройства на другой сервер, заверяют исследователи по безопасности.

Well, that's a transaction made with a MitMed Bitfi, with the phrase and seed being sent to a remote machine.

That sounds a lot like Bounty 2 to me. pic.twitter.com/qBOVQ1z6P2

— Cybergibbons (@cybergibbons) August 13, 2018

Исследователи получили полный доступ к устройству еще две недели назад. Все это время группа исследователей следила за устройством и данными, отправляемыми из кошелька.

Same group 😉

— OverSoft (@OverSoftNL) August 14, 2018

Они утверждают, что устройство все еще подключено к серверу Bitfi.

Short update without going into too much detail about BitFi:

We have root access, a patched firmware and can confirm the BitFi wallet still connect happily to the dashboard.

There are NO checks in place to prevent that like claimed by BitFi.

— OverSoft (@OverSoftNL) August 1, 2018

Ранее, в этом месяце, генеральный директор Bitfi Дэниел Кешин (Daniel Keshin) прокомментировал ситуацию с предполагаемым взломом, совершенным Салемом Рашидом. Рашид смог запустить на устройстве компьютерную игру DOOM.

A video played on your Bitfi wallet has nothing to do with the safety of your funds. This is amateur hour, not a hack! Any device with a computer and screen can be used to play games. I should start watching my YouTube videos on Bitfi wallet. Go to https://t.co/ATFaxwUzQC !

— John McAfee (@officialmcafee) August 12, 2018

Рашид гонорар не требует, подтверждением чему является размещенный пост одного из экспертов по безопасности на его Twitter-страничке, где отмечается, что эти средства могут быть переданы и на благотворительность. Хешин отметил в комментарии Cointelegraph, что доказательств взлома нет, но устройство действительно можно взломать. После обнаружения уязвимости команда внесет изменения в программное обеспечение, чтобы сделать его по-настоящему неуязвимым. МакАфи же утверждает, что взламывать нечего.

https://twitter.com/spudowiar/status/1024939272628068352