Специалисты из Kraken Security Labs, подразделения по кибербезопасности криптовалютной биржи Kraken, смогли извлечь сид из аппаратного криптовалютного кошелька KeepKey. Об этом Kraken сообщила в своем блоге.
Все, что требуется, это физический доступ к кошельку в течение 15 минут.
Атака основана на сбое напряжения для извлечения зашифрованного сида, что требует наличия специального оборудования. По оценкам специалистов, создание устройства для сбоя напряжения обойдется примерно в $75. Методом грубого перебора удалось взломать зашифрованный сид, который защищен 1-9-значным ПИН-кодом.
При атаке используются уязвимости микроконтроллера, который используется в KeepKey.
Специалисты заключили, что команде KeepKey будет трудно что-либо сделать с этой уязвимостью без модернизации оборудования. А до тех пор пользователи кошелька могут сделать следующее:
- Минимизировать физический доступ к кошельку. Команда KeepKey уже знает об атаке, поэтому на своем сайте утверждает следующее: «Задача KeepKey — защищать ваши ключи от удаленных атак». Безусловно, очень трудно защититься от атак при физическом доступе, но специалисты Kraken считают, что такая позиция не соответствует брендингу их продукта как «следующего рубежа в обеспечении безопасности криптовалют». Важно понимать, что если вы потеряете KeepKey, эта уязвимость может быть использована для доступа к вашей криптоактивам.
- Установить пароль для защиты сида (BIP39) в клиенте KeepKey. Этот пароль не очень удобен для использования на практике, но не хранится на устройстве.
- Крупные держатели Ethereum переместили $357 млн всего за несколько минут - 14.03.2023
- Биткоин и эфир прибавляют на фоне активизации азиатских и европейских трейдеров - 14.03.2023
- Glassnode выпустили индикатор, определяющий пики и дно биткоина - 13.03.2023
- Нигерия задействует технологию блокчейн в модернизации банковского сектора - 13.03.2023
- Гендиректор Messari призывает инвесторов покупать биткоины - 13.03.2023