Вы здесь

Хакеры нашли уязвимости в кошельке Trezor

Хакеры нашли уязвимости в кошельке Trezor

Не так безопасно

Trezor, по-видимому, имеет уязвимость, которая подвергает опасности пользователей, у которых нет пароля, защищающего их монеты на устройстве кошелька Trezor. Это не что-то новое, так как Trezor, и другие аппаратные кошельки уже подвергались атакам раньше. Атака должна была произойти рано или поздно, так как эти устройства очень удобны и ими пользуются тысячи пользователей.

Проблема уязвимости аппаратных кошельков обсуждалась на 35-м конгрессе Chaos Communication, на котором собрались специалисты, чтобы обсудить, как можно взломать самые популярные аппаратные кошельки криптовалют.

Конгресс Chaos Communication выявляет архитектурные, физические, аппаратные, программные и микропрограммные уязвимости. Они пытаются создать библиотеку вредоносных атак, которые могут быть совершены, туда же относят проблемы, которые могут позволить злоумышленнику получить доступ к средствам аппаратного кошелька. Расследование группы специалистов показало наличие системных проблем у многих аппаратных кошельков.

Атаки, выполняемые командой специалистов конгресса, против нескольких аппаратных кошельков варьировались от взлома собственной защиты загрузчика, взлома веб-интерфейсов, используемых для взаимодействия с кошельками, до физических атак, включая сбои в обход безопасности, реализованной в микроконтроллерах кошелька.

Проведение таких конгрессов гарантирует, что компании решат проблемы, связанные с созданием более устойчивых к атакам аппаратных кошельков.

Взломать аппаратный кошелек 101

Аппаратные кошельки сейчас чрезвычайно популярны. Можно с уверенностью предположить, что эти устройства сейчас хранят значительный процент мировой криптовалюты.

ICO, хедж-фонды, трейдеры и блокчейн-проекты используют аппаратные кошельки для хранения своей криптовалюты. Это означает, что аппаратные кошельки хранят десятки миллионов долларов криптовалюты и вследствие чего часто подвергаются атакам.

В ходе презентации обсуждался вопрос о выявленных уязвимостей и о том, каков наилучший курс действий по их устранению. То, что они выявили, показало, что эти уязвимости имеют несколько уровней последствий и, возможно, должны быть исправлены прошивки или потребуются новые версии оборудования.

Атака

Атака была в основном сосредоточена на взломе интерфейсов, которые позволяют взаимодействовать с кошельком. Для этого Дмитрий Недоспасов и Томас Рот установили сокет вместе с FPGA и несколькими другими устройствами, подключенными к кошельку Trezor, для запуска кода, который предоставил бы им доступ к начальному значению и выводу монет. Однако взлом возможен только в том случае, если у кошелька не будет пароля.

Между тем, Павел Руснак, инженер, отвечающий за Trezor, ответил сообществу, сказав, что вопрос расследуется, и патч уже в пути.

Руснак написал в Твиттере:

«Мы не были заранее проинформированы об атаке через нашу программу ответственного раскрытия информации, поэтому мы узнали о взломе, когда он уже произошел. Нам нужно некоторое время, чтобы исправить обнаруженные ошибки. Мы будем решать их с помощью обновления прошивки в конце января».

Проблемы вызвали беспокойство в сообществе и в основном у крипто-энтузиастов, использующих устройство Trezor.

Любой, кто использует Trezor и не использует пароль, должен выставить его немедленно. Кодовая фраза является самой безопасной, поскольку она намного более устойчива к атакам методом перебора, чем обычный пароль.

Добавьте комментарий