Показать еще

Kraken нашел очередную критическую уязвимость в криптокошельке

2 mins
Обновлено Татьяна Чепкова
Читайте последние новости криптовалют в Телеграм

СОДЕРЖАНИЕ

  • Кошелек хранит мнемоническую фразу и другие данные в виде незашифрованного текста
  • Получив доступ к сопряженному телефону, злоумышленник может украсть средства
  • Уязвимость уже идентифицирована, но вопрос безопасности кошелька до сих пор актуален
  • promo

Исследовательский отдел криптовалютной биржи Kraken Security Labs выявил еще одну критическую уязвимость в аппаратном криптовалютном кошельке.
На этот раз критическая уязвимость была найдена в «холодном» кошельке от CoolBitX под названием CoolWallet S. Это аппаратный кошелек размером с кредитную карту, который соединяется с приложениями для мобильных телефонов (на операционной системе Android и iOS) через Bluetooth-соединение. В Kraken Security Labs обнаружили, что версия приложения Android под CoolWallet S хранит PIN-код кошелька, пароль для сопряжения, а также мнемоническую фразу в виде открытого текста. Эта уязвимость означает, что в случае потенциального взлома мобильного телефона посредством физической кражи или же удаленного вредоносного ПО, злоумышленник может легко получить все необходимое для очистки сопряженного аппаратного кошелька. Мнемоническая фраза функционально совпадает с личным ключом. Таким образом, если злоумышленник сможет получить фразу, он может ввести ее в любом другом цифровом/аппаратном кошельке и получить полный контроль над криптовалютными средствами, отмечают в Kraken.

Цепочка уязвимостей

Более того, аппаратный кошелек зависит от защиты сопряженного с ним мобильного телефона. Если злоумышленник сможет получить как телефон жертвы, так и кошелек, то он сможет разблокировать кошелек и либо связать его с другим телефоном, либо отправить средства прямо с устройства на другой криптовалютный кошелек. Другие производители требуют ввода отдельного PIN-кода на кошелек в качестве дополнительного уровня безопасности, но CoolWallet S этого не делает, подчеркивают в Kraken Security Labs.

Решение есть, ответа нет

В Kraken заявили, что после обнаружения уязвимости, биржа сразу связалась с CoolWallet S 2 января, после чего, производитель криптокошелька выпустил обновление. Перестал ли кошелек CoolWallet S хранить мнемоническую фразу в незашифрованном тексте — остается неизвестно. Ранее в Kraken удалось всего за 15 минут взломать другой криптовалютный кошелек — Trezor. Тогда атака была основана на сбое напряжения для расшифровки начального числа ключа.  В случае с Trezor, злоумышленниками уже необходимо было определенное оборудование, какое именно – в Kraken Security Labs, конечно же, не рассказали, но уточнили, что его стоимость может не превышать и $75.

Trusted

Согласно правилам Trust Project, BeInCrypto стремится предоставлять только непредвзятую и правдивую информацию. Цель этой новостной статьи — осветить событие точно и своевременно. Тем не менее, BeInCrypto рекомендует читателям самостоятельно проверять информацию и консультироваться со специалистом, прежде чем принимать любые финансовые решения на основе этого контента. Также обратите внимание, что наши «Условия и положения», «Политика конфиденциальности» и «Дисклеймеры» были обновлены.

2167c714-82e6-49de-8f9c-ea512025eb67.jpg
Денис Омельченко
Новостной корреспондент рынка криптовалютных активов и блокчейна с 2016 года. Колумнист новостного отдела Currency.com и новостной репортер англоязычного издания iHodl.com. Обозревал блокчейн-стартапы для криптокошелька Atomic Wallet и поддерживал развитие сообщества криптовалютного проекта Amoveo в качестве SMM-менеджера.
READ FULL BIO
Sponsored
Sponsored