Хорошая новость заключается в том, что исследователи показали уязвимости популярных кошельков в демонстрационных целях, и что многие из них могут быть сравнительно легко устранены. Плохая — в том, что проблем найдено гораздо больше, и что им оказались подвержены устройства разных моделей и производителей.
Помните «Змейку», в которую фигурант списка Forbes 30 under 30 Томас Рот научил играть одну из моделей Ledger? Так вот, это был только анонс мероприятия в рамках Chaos Communication Congress, которое, судя по презентации, удалось на славу.
С материалами Wallet.fail можно ознакомиться по ссылке — вряд ли найдется хоть один пользователь аппаратного кошелька который скажет, что это впустую потраченное время. Рот и его коллеги, что называется, показали товар лицом, если под товаром понимать возможность взлома популярных моделей аппаратных кошельков и арсенал применяемых для этого методов и приемов.
Wallet.fail продемонстрировала широкий спектр уязвимостей разных моделей, найденных в ПО, самом «железе», веб-интерфейсе, архитектуре ПО и прошивках. Исследователи утверждают, что некоторые уязвимости в программном обеспечении и прошивках могут быть сравнительно легко устранены выпуском соответствующих обновлений, в то время как с более глобальными проблемами все не так просто.
В ходе презентации специалисты использовали любимый педагогами принцип наглядности: извлекли из памяти Trezor PIN и мнемоническое ядро, перехватили PIN Ledger Blue и удаленно прописали транзакцию для Ledger Nano S.
Использовав различные подходы и методы атак, многие из которых увенчались успехом, исследователи пришли к неутешительному для криптоэнтузиастов выводу. «Наше исследование нескольких кошельков выявило системные и повторяющиеся проблемы», — отмечает Wallet.fail.