Вторник , Январь 28 2020
Home / Биткойн / Kraken Security Labs обнаружила уязвимость в криптовалютном кошельке KeepKey

Kraken Security Labs обнаружила уязвимость в криптовалютном кошельке KeepKey

Сотрудники исследовательской компании Kraken Security Labs обнаружили уязвимость в аппаратном криптовалютном кошельке KeepKey, через которую злоумышленники могут получить доступ к активам пользователя.

Исследователи сообщили, что, имея физический доступ к устройству, злоумышленник может извлечь зашифрованную seed-фразу, защищенную PIN-кодом, который содержит от 1 до 9 цифр, так как такая защита взламывается простым перебором паролей. При этом устранить уязвимость невозможно, так как для этого KeepKey нужно изменить кошелек на аппаратном уровне.

«Атака под названием «сбой напряжения» производится на микроконтроллер, используемый в кошельках KeepKey. С помощью определенных вредоносных манипуляций с питанием удается воздействовать на первый элемент программного обеспечения, загружаемого устройством, в данном случае «кодом BootROM», – заявили сотрудники Kraken Security Labs.

Собрать устройство, которое способно провести подобную атаку, можно примерно за $75, однако исследователи рассказали, как пользователи могут обезопасить себя от взлома. Во-первых, нужно постараться, чтобы никто кроме пользователя не имел физического доступа к устройству. Если пользователь потеряет устройство или его похитят, то эта уязвимость может быть использована для доступа к криптовалютным активам.

Читайте также:  Биткоин упал ниже $10K, показав худшие сутки за месяц

Также специалисты по кибербезопасности рекомендуют добавить парольную фразу BIP39 через расширение KeepKey Client. Эта парольная фраза немного неудобна для использования, но не хранится на устройстве и, следовательно, не уязвима для атаки. Исследователи отметили:

«Несмотря на то, что основная часть кодовой базы KeepKey основывается на Trezor One, все же они имеют отличия. Разработчики KeepKey добавили несколько механизмов, которые должны были сделать прошивку кошелька невосприимчивой к атакам сбоев. На мероприятии Wallet.Fail были продемонстрированы подобные атаки, однако оказалось, что все эти меры неэффективны».

Читайте также:  Уоррен Баффет: «Биткойн — это инструмент для азартных игр и преступной деятельности»

Источник

About crypto

Check Also

Litecoin вел рынок в прошлом, повторится ли история с BTC?

Катализатором роста всего крипторынка прошлой весной выступил Litecoin, в частности, его халвинг; технические сигналы теперь …

Добавить комментарий