Исследовательский отдел криптовалютной биржи Kraken Security Labs выявил еще одну критическую уязвимость в аппаратном криптовалютном кошельке.
На этот раз критическая уязвимость была найдена в «холодном» кошельке от CoolBitX под названием CoolWallet S. Это аппаратный кошелек размером с кредитную карту, который соединяется с приложениями для мобильных телефонов (на операционной системе Android и iOS) через Bluetooth-соединение.
В Kraken Security Labs обнаружили, что версия приложения Android под CoolWallet S хранит PIN-код кошелька, пароль для сопряжения, а также мнемоническую фразу в виде открытого текста. Эта уязвимость означает, что в случае потенциального взлома мобильного телефона посредством физической кражи или же удаленного вредоносного ПО, злоумышленник может легко получить все необходимое для очистки сопряженного аппаратного кошелька. Мнемоническая фраза функционально совпадает с личным ключом. Таким образом, если злоумышленник сможет получить фразу, он может ввести ее в любом другом цифровом/аппаратном кошельке и получить полный контроль над криптовалютными средствами, отмечают в Kraken.🚨 Kraken Security Labs has discovered a way to empty #crypto funds from the @coolwallet S hardware wallet when connected to its Android app.
— Kraken Exchange (@krakenfx) April 3, 2020
Here’s how we did it and what it means for users 🧵👇https://t.co/7AFG656U8h
Цепочка уязвимостей
Более того, аппаратный кошелек зависит от защиты сопряженного с ним мобильного телефона. Если злоумышленник сможет получить как телефон жертвы, так и кошелек, то он сможет разблокировать кошелек и либо связать его с другим телефоном, либо отправить средства прямо с устройства на другой криптовалютный кошелек. Другие производители требуют ввода отдельного PIN-кода на кошелек в качестве дополнительного уровня безопасности, но CoolWallet S этого не делает, подчеркивают в Kraken Security Labs.Решение есть, ответа нет
В Kraken заявили, что после обнаружения уязвимости, биржа сразу связалась с CoolWallet S 2 января, после чего, производитель криптокошелька выпустил обновление. Перестал ли кошелек CoolWallet S хранить мнемоническую фразу в незашифрованном тексте — остается неизвестно. Ранее в Kraken удалось всего за 15 минут взломать другой криптовалютный кошелек — Trezor. Тогда атака была основана на сбое напряжения для расшифровки начального числа ключа. В случае с Trezor, злоумышленниками уже необходимо было определенное оборудование, какое именно – в Kraken Security Labs, конечно же, не рассказали, но уточнили, что его стоимость может не превышать и $75.
Согласно правилам Trust Project, BeInCrypto стремится предоставлять только непредвзятую и правдивую информацию. Цель этой новостной статьи — осветить событие точно и своевременно. Тем не менее, BeInCrypto рекомендует читателям самостоятельно проверять информацию и консультироваться со специалистом, прежде чем принимать любые финансовые решения на основе этого контента. Также обратите внимание, что наши «Условия и положения», «Политика конфиденциальности» и «Дисклеймеры» были обновлены.
Денис Омельченко
Новостной корреспондент рынка криптовалютных активов и блокчейна с 2016 года. Колумнист новостного отдела Currency.com и новостной репортер англоязычного издания iHodl.com. Обозревал блокчейн-стартапы для криптокошелька Atomic Wallet и поддерживал развитие сообщества криптовалютного проекта Amoveo в качестве SMM-менеджера.
Новостной корреспондент рынка криптовалютных активов и блокчейна с 2016 года. Колумнист новостного отдела Currency.com и новостной репортер англоязычного издания iHodl.com. Обозревал блокчейн-стартапы для криптокошелька Atomic Wallet и поддерживал развитие сообщества криптовалютного проекта Amoveo в качестве SMM-менеджера.
READ FULL BIO
Sponsored
Sponsored