Bitcoin btc
$ usd
Новость

Kraken нашел очередную критическую уязвимость в криптокошельке

2 mins
Обновлено Татьяна Чепкова

СОДЕРЖАНИЕ

  • Кошелек хранит мнемоническую фразу и другие данные в виде незашифрованного текста
  • Получив доступ к сопряженному телефону, злоумышленник может украсть средства
  • Уязвимость уже идентифицирована, но вопрос безопасности кошелька до сих пор актуален
  • promo

Исследовательский отдел криптовалютной биржи Kraken Security Labs выявил еще одну критическую уязвимость в аппаратном криптовалютном кошельке.
На этот раз критическая уязвимость была найдена в «холодном» кошельке от CoolBitX под названием CoolWallet S. Это аппаратный кошелек размером с кредитную карту, который соединяется с приложениями для мобильных телефонов (на операционной системе Android и iOS) через Bluetooth-соединение. В Kraken Security Labs обнаружили, что версия приложения Android под CoolWallet S хранит PIN-код кошелька, пароль для сопряжения, а также мнемоническую фразу в виде открытого текста. Эта уязвимость означает, что в случае потенциального взлома мобильного телефона посредством физической кражи или же удаленного вредоносного ПО, злоумышленник может легко получить все необходимое для очистки сопряженного аппаратного кошелька. Мнемоническая фраза функционально совпадает с личным ключом. Таким образом, если злоумышленник сможет получить фразу, он может ввести ее в любом другом цифровом/аппаратном кошельке и получить полный контроль над криптовалютными средствами, отмечают в Kraken.

Цепочка уязвимостей

Более того, аппаратный кошелек зависит от защиты сопряженного с ним мобильного телефона. Если злоумышленник сможет получить как телефон жертвы, так и кошелек, то он сможет разблокировать кошелек и либо связать его с другим телефоном, либо отправить средства прямо с устройства на другой криптовалютный кошелек. Другие производители требуют ввода отдельного PIN-кода на кошелек в качестве дополнительного уровня безопасности, но CoolWallet S этого не делает, подчеркивают в Kraken Security Labs.

Решение есть, ответа нет

В Kraken заявили, что после обнаружения уязвимости, биржа сразу связалась с CoolWallet S 2 января, после чего, производитель криптокошелька выпустил обновление. Перестал ли кошелек CoolWallet S хранить мнемоническую фразу в незашифрованном тексте — остается неизвестно. Ранее в Kraken удалось всего за 15 минут взломать другой криптовалютный кошелек — Trezor. Тогда атака была основана на сбое напряжения для расшифровки начального числа ключа.  В случае с Trezor, злоумышленниками уже необходимо было определенное оборудование, какое именно – в Kraken Security Labs, конечно же, не рассказали, но уточнили, что его стоимость может не превышать и $75.

Дисклеймер

Вся информация, содержащаяся на нашем вебсайте, публикуется на принципах добросовестности и объективности, а также исключительно с ознакомительной целью. Читатель самостоятельно несет полную ответственность за любые действия, совершаемые им на основании информации, полученной на нашем вебсайте.

Sponsored
Sponsored