![89_new_main](https://s3.eu-central-1.amazonaws.com/cometa.news/wp-content/uploads/2019/12/12091006/89_new_main-5.jpg)
Эксперты Kraken нашли уязвимость в кошельке KeepKey
11 декабря 2019
Исследователи проблем кибербезопасности раскрыли уязвимость аппаратного кошелька KeepKey, которая, по их словам, позволяет злоумышленнику, имеющему физический доступ к устройству, похитить находящиеся на нем активы всего за 15 минут. Об этом сообщается на сайте Kraken.
Сотрудники Kraken Security Labs в блоге биржи описывают атаку типа «сбой напряжения», с помощью которой можно извлечь зашифрованную seed-фразу для получения доступа к хранящейся на устройстве криптовалюте. Затем злоумышленники могут методом перебора взломать seed-фразу, которая защищена PIN-кодом, содержащим от 1 до 9 цифр, что авторы называют «тривиальной» задачей.
Вместе с этим, заявляют они, устранить уязвимость будет достаточно проблематично, так как команда KeepKey не сможет ничего сделать, если не изменит кошелек на аппаратном уровне.
«Атака возможна благодаря уязвимости, присущей микроконтроллеру, который используется в KeepKey», – пишут Kraken Security Labs.
Распространением кошельков KeepKey занимается крипто-биржевая платформа ShapeShift, купившая компанию-производителя в 2017 году.
Атака типа «сбой напряжения» осуществляется путем вредоносных манипуляций с питанием микроконтроллера. По оценкам исследователей, собрать простой в использовании девайс для проведения такой атаки будет стоить около $75. С его помощью злоумышленник сможет воздействовать на первый элемент программного обеспечения, загружаемого устройством, в данном случае «кодом BootROM».
«Хотя преимущественная часть кодовой базы KeepKey основывается на Trezor One, их кодовые базы приобрели различия. Команда KeepKey добавила несколько механизмов, которые должны сделать ее прошивку невосприимчивой к атакам сбоев, продемонстрированным на мероприятии Wallet.Fail во время 35-го конгресса Chaos Communications. Теперь не менее, эти меры оказались неэффективными», – объясняют Kraken Security Labs.
Ранее разработчики аппаратного криптовалютного кошелька KeepKey добавили в устройство нативную поддержку токенов стандарта ERC-20.
Между тем, число обращений правоохранительных органов к швейцарской бирже криптовалют ShapeShift выросло на 175% во второй половине 2018 года.
Издание Wall Street Journal использовало неполноценные методы расследования и существенно завысило объемы операций по отмыванию денег, якобы проводившихся через криптобиржу ShapeShift.
Напомним, в скандале с QuadrigaCX всплыла площадка ShapeShift.