Сотрудники Kraken Security Labs в блоге биржи описывают атаку типа «сбой напряжения», с помощью которой можно извлечь зашифрованную seed-фразу для получения доступа к хранящейся на устройстве криптовалюте. Затем злоумышленники могут методом перебора взломать seed-фразу, которая защищена PIN-кодом, содержащим от 1 до 9 цифр, что авторы называют «тривиальной» задачей.
Вместе с этим, заявляют они, устранить уязвимость будет достаточно проблематично, так как команда KeepKey не сможет ничего сделать, если не изменит кошелёк на аппаратном уровне. «Атака возможна благодаря уязвимости, присущей микроконтроллеру, который используется в KeepKey», – пишут Kraken Security Labs.
Распространением кошельков KeepKey занимается крипто-биржевая платформа ShapeShift, купившая компанию-производителя в 2017 году.
Атака типа «сбой напряжения» осуществляется путём вредоносных манипуляций с питанием микроконтроллера. По оценкам исследователей, собрать простой в использовании девайс для проведения такой атаки будет стоить около $75. С его помощью злоумышленник сможет воздействовать на первый элемент программного обеспечения, загружаемого устройством, в данном случае «кодом BootROM».
«Хотя преимущественная часть кодовой базы KeepKey основывается на Trezor One, их кодовые базы приобрели различия. Команда KeepKey добавила несколько механизмов, которые должны сделать её прошивку невосприимчивой к атакам сбоев, продемонстрированным на мероприятии Wallet.Fail во время 35-го конгресса Chaos Communications. Теперь не менее, эти меры оказались неэффективными», – объясняют Kraken Security Labs.
- Биткоин: где купить? Обзор некоторых платформ для покупки криптовалюты
- Cryptonica – лучший информационный портал о криптовалюте
- Прогноз курса Ethereum: опасения регулирующих органов по поводу будущего ETH стремительно растет
- Обмен юсдт на российские рубли
- Выбор интернет-казино с минимальным депозитом и невысокими ставками