Блокчейн, финтех, новая экономика, блэкджек

Специалисты Kraken Security научились взламывать аппаратные кошельки Trezor за 15 минут

Новости

Исследователи кибербезопасности Kraken Security Labs продемонстрировали широкой публике метод взлома популярных аппаратных кошельков Trezor One и Trezor Model T. Дыра в безопасности позволяет злоумышленникам получить доступ к криптовалюте наивного пользователя всего за 15 минут.

Но есть и хорошие новости — для манипулирования микроконтроллером устройства необходимо получить физический доступ к кошельку. Это немного успокаивает — ведь смысл аппаратных кошельков как раз в том, что с них невозможно похитить средства через интернет.

Тем не менее, брешь в безопасности, обнаруженная Kraken Security, обнажила серьезные проблемы разработки устройства. Для того чтобы завладеть парольной seed-фразой пользователя злоумышленнику понадобится выполнить два условия: получить физический доступ к кошельку на 15 минут и применить несложный прибор, рыночную стоимость которого специалисты оценивают всего в каких-то $75. Устройство вызывает сбой в микроконтроллере из-за перепада напряжения. В результате нехитрых действий злоумышленник получает возможность взломать устройство, получить заветную seed-фразу и доступ ко всем криптовалютным средствам.

Плохо даже не то, что кошелек взламывается за 15 минут, а то, что это происходит за счет микроконтроллера. Команде разработчиков Trezor остается только посыпать головы пеплом и модернизировать устройство. Кошельки небезопасны. И с этим ничего не поделаешь. «К сожалению, команде Trezor будет сложно что-либо сделать с этой уязвимостью без переработки оборудования», – считают эксперты.

В качестве превентивной меры пользователям кошелька настойчиво рекомендовали активировать кодовую фразу по схеме BIP39 в клиенте Trezor. Однако, обезопасить себя полностью не получится.

Trezor One и Trezor Model T не первые жертвы дотошных исследователей из Kraken. В декабре 2019 года подобная уязвимость была обнаружена в аппаратном кошельке KeepKey. Перепад напряжения в микроконтроллере этого кошелька дает возможность исследователю получить доступ к seed-фразе, защищенной 1-9-значным PIN-кодом, взломать который не составит труда (специалисты Kraken Security Labs охарактеризовали этот взлом как «тривиальный»).

Понравилась статья?

Подпишись на e-mail рассылку и будь всегда в курсе последних событий

Добавить комментарий

Your email address will not be published.

*

BTC
43327-10.68%
ETH
3237.82-15.28%
BCH
1034.26-15.69%
XRP
1.36-13.76%
Ту зе МУН