Разработчик раскрыл возможность атаки с требованием выкупа на аппаратные кошельки Trezor и KeepKey

По словам разработчика аппаратного кошелька BitBox02, устройства KeepKey и Trezor могут быть уязвимы к атакам с требованием выкупа в криптовалютах.

Как заявил
в статье на Medium разработчик компании ShiftCrypto, создающей аппаратный кошелек BitBox02, аппаратные кошельки Trezor One до v1.9.3 и Trezor Model T до v2.3.3, а также KeepKey, уязвимы для удаленной атаки с требованием выкупа при вводе парольной фразы на компьютере/телефоне.

Как утверждает разработчик, ShiftCrypto оповестила о проблеме производителя Trezor SatoshiLabs 15 апреля 2020 года, а создателей Keepkey ShapeShift — 7 мая 2020 года. При этом SatoshiLabs выплатила вознаграждение за обнаружение уязвимости и 2 сентября выпустила обновления, устраняющие проблему. Однако команда KeepKey до сих пор не исправила уязвимость и, по словам разработчика, заявляет, что работает над более приоритетными задачами.

Исследователь пишет, что парольные фразы — уровень безопасности, который может создавать «скрытые» кошельки, имеющиеся в KeepKey и Trezor, необходимо вводить только в соответствующий кошелек хоста (host wallet), например, Electrum, а не в аппаратный кошелек, хотя Trezor также дает возможность ввести его на устройстве.

Это создает уязвимость, при которой вредоносный кошелек или атака посредника могут фактически заблокировать доступ пользователя к его криптоактивам путем изменения парольной фразы кошелька хоста.

Такая лазейка создает возможности для атаки с целью выкупа, при которой хакер требует от жертвы определенную сумму в криптоактивах за восстановление доступа к кошельку. Разработчик утверждает, что ему удалось успешно провести атаку через Electrum в тестовой сети Биткоина. Однако нет никаких доказательств того, что уязвимость уже была кем-то реально использована. Удаленная атака затрагивает только владельцев кошельков, использующих дополнительную функцию парольной фразы и вводящих ее через кошелек на компьютере.

Уязвимости в аппаратных кошельках обнаруживаются достаточно часто. Например, в июле прошлого года стало известно, что аппаратные кошельки Trezor оказались
уязвимы для физического взлома, а в декабре Kraken Security Labs обнаружила
уязвимость в криптовалютном кошельке KeepKey.