Аппаратный кошелек для хранения криптовалют OneKey оказался уязвим для перехвата мнемонической фразы в незашифрованном виде
Криптовалютный кошелек OneKey не шифрует мнемоническую фразу, делая возможным так называемую «атаку посредника». Об этом у себя на ютуб-канале сообщили сотрудники фирмы IT-безопасности Unciphered.
Как выяснили эксперты, кошелек совсем не шифрует данные, передаваемые с зашифрованной части на центральный процессор. Вторгнувшись на аппаратном уровне в работу кошелька, аналитики смогли обмануть устройство, заставив его функционировать в заводских настройках. В результате такого «обнуления» эксперты смогли за секунду перехватить мнемоническую фразу кошелька. С помощью нее злоумышленник может беспрепятственно вывести криптовалюту на сторонний адрес.
В Unciphered утверждают, что выявленный эксплойт «чрезвычайно критичен» для безопасности кошелька. Впрочем, в OneKey, похоже, так не считают, поскольку заплатили экспертам Unciphered всего лишь $10 000 за выявленную уязвимость. Примечательно, что разработчики кошелька привлекли на свой проект куда больше — $20 млн. Инвесторами OneKey выступили Coinbase Ventures, Ribbit Capital и Dragonfly. Основатель OneKey Иши Ванг уверяет, что разработчики уже подготовили обновление, которое решает проблему.
В феврале 2020 года эксперты киберподразделения Kraken Security Labs взломали аппаратный криптокошелек Trezor всего за 15 минут. Специалисты рассказали, что атака основана на сбое напряжения для расшифровки начального числа ключа. При атаке используются недостатки, присущие микроконтроллеру, который встроен в кошельки старых версий Trezor. По такой же технологии были взломаны и кошельки KeepKey.
Представители Trezor признали атаку. По их словам, чтобы провести такой взлом, хакеру надо сначала получить доступ к аппаратному кошельку и физически вскрыть его, удалить микрочип STM32, а потом подключить его к специально разработанной плате, которая и сможет расшифровать начальные значения кода ключа. О какой именно плате идет речь, неясно, однако в Kraken Security Labs уточнили, что ее стоимость может составлять всего $75.
Согласно правилам Trust Project, BeInCrypto стремится предоставлять только непредвзятую и правдивую информацию. Цель этой новостной статьи — осветить событие точно и своевременно. Тем не менее, BeInCrypto рекомендует читателям самостоятельно проверять информацию и консультироваться со специалистом, прежде чем принимать любые финансовые решения на основе этого контента. Также обратите внимание, что наши «Условия и положения», «Политика конфиденциальности» и «Дисклеймеры» были обновлены.