MMGP logo
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 649,766 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение - зарегистрируйтесь прямо сейчас.
Все новости о платежных криптовалютах, таких как BitCoin, Ethereum, LiteCoin, Ripple и прочих подобных p2p валютах
Первый пост Опции темы
Старый 03.09.2020, 18:13
#1
Любитель
 
Имя: Иван Тихонов
Пол: Мужской
Инвестирую в: Свой бизнес
Регистрация: 19.07.2012
Сообщений: 18,408
Благодарностей: 70

награды Ветеран MMGP.RU 
Разработчик раскрыл возможность атаки с требованием выкупа на аппаратные кошельки Trezor и KeepKey

По словам разработчика аппаратного кошелька BitBox02, устройства KeepKey и Trezor могут быть уязвимы к атакам с требованием выкупа в криптовалютах. Как заявил в статье*на Medium разработчик компании ShiftCrypto, создающей аппаратный кошелек BitBox02, аппаратные кошельки Trezor One до v1.9.3 и Trezor Model T до v2.3.3, а также KeepKey, уязвимы для удаленной атаки с требованием выкупа при вводе парольной фразы на компьютере/телефоне.

Как утверждает разработчик, ShiftCrypto оповестила о проблеме производителя Trezor SatoshiLabs 15 апреля 2020 года, а создателей Keepkey ShapeShift - 7 мая 2020 года. При этом SatoshiLabs выплатила вознаграждение за обнаружение уязвимости и 2 сентября выпустила обновления, устраняющие проблему. Однако команда KeepKey до сих пор не исправила уязвимость и, по словам разработчика, заявляет, что работает над более приоритетными задачами.

Исследователь пишет, что парольные фразы - уровень безопасности, который может создавать «скрытые» кошельки,*имеющиеся в KeepKey и Trezor, необходимо вводить только в соответствующий кошелек хоста (host wallet), например, Electrum, а не в аппаратный кошелек, хотя Trezor также дает возможность ввести его на устройстве.

Это создает уязвимость, при которой вредоносный кошелек или атака посредника могут фактически заблокировать доступ пользователя к его криптоактивам путем изменения парольной фразы кошелька хоста.

Цитата:
«Парольная фраза, которую использует Trezor/KeepKey, может быть не той, которую вы ввели, и контролироваться злоумышленником», - отмечает разработчик. «Поскольку и кодовая фраза, и устройство необходимы для исходящих транзакций, пользователь оказывается отрезанным от своих средств, пока злоумышленник не раскроет парольную фразу».
Такая лазейка создает возможности для атаки с целью выкупа, при которой хакер требует от жертвы определенную сумму в криптоактивах за восстановление доступа к кошельку. Разработчик утверждает, что ему удалось успешно провести атаку через Electrum в тестовой сети Биткоина. Однако нет никаких доказательств того, что уязвимость уже была кем-то реально использована. Удаленная атака затрагивает только владельцев кошельков, использующих*дополнительную функцию парольной фразы и вводящих ее через кошелек на компьютере.

Уязвимости в аппаратных кошельках обнаруживаются достаточно часто. Например, в*июле прошлого года стало известно, что аппаратные кошельки Trezor оказались уязвимы для физического взлома, а в декабре Kraken Security Labs обнаружила уязвимость в криптовалютном кошельке KeepKey.

Источник: Bits.media
polym0rph вне форума
Войдите, чтобы оставить комментарий.
Быстрый переход
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Хакеры атаковали больницу в США с требованием выкупа в криптовалюте polym0rph Новости криптовалют 0 29.04.2020 23:08
В России предусмотрят возможность обратного выкупа токенов у инвесторов ICO The Flash Новости криптовалют 0 02.04.2018 14:56
Сервис для инвестора: аппаратные кошельки ГераЯ Инвестирование в криптовалюты 3 26.03.2018 05:29
В аппаратные кошельки Ledger могут добавить поддержку Bitcoin Diamond Анна Чернобай Новости криптовалют 0 26.11.2017 22:46
Аппаратные кошельки Trezor не защищены от хакерских атак Alcest Новости криптовалют 0 20.08.2017 09:47