MMGP logo
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 649,759 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение - зарегистрируйтесь прямо сейчас.
Все новости о платежных криптовалютах, таких как BitCoin, Ethereum, LiteCoin, Ripple и прочих подобных p2p валютах
Первый пост Опции темы
Старый 26.01.2022, 12:09
#1
Любитель
 
Имя: Иван Тихонов
Пол: Мужской
Инвестирую в: Свой бизнес
Регистрация: 19.07.2012
Сообщений: 18,408
Благодарностей: 70

награды Ветеран MMGP.RU 
Белый хакер взломал кошелек Trezor One и вернул владельцу криптоактивы на сумму более $2 млн

Компьютерный инженер Джо Гранд использовал уязвимость аппаратного кошелька Trezor One, чтобы вернуть криптоактивы на сумму более $2 млн пользователю, потерявшему PIN-код. Белый хакер Джо Гранд (Joe Grand), известный под ником «Kingpin» («Вор в законе»), разместил на Youtube видео, в котором рассказал, как ему удалось взломать аппаратный кошелек Trezor One. Таким образом компьютерный инженер из Портленда помог вернуть деньги предпринимателю из Нью-Йорка Дэну Райху (Dan Reich), который потерял PIN-код от кошелька.

Еще в 2018 году Райх решил обналичить около $50 000, однако обнаружил, что потерял PIN-код от кошелька, на котором хранилась криптовалюта. После 12 безуспешных попыток угадать PIN-код он решил отложить вывод средств до лучших времен, чтобы избежать автоматической блокировки кошелька после 16 неправильных попыток.

Однако в этом году стоимость криптоактивов, хранящихся на кошельке Райха, выросла до $2 млн, и он решил пойти на крайние меры, чтобы получить деньги. Без сид-фразы или PIN-кода единственным способом вернуть доступ к криптоактивам оставался взлом.

Райх связался с Грандом и предложил взломать кошелек. Белый хакер на протяжении 12 недель пытался восстановить утерянный PIN-код. За это время он совершил множество проб и ошибок, но в конце концов нашел способ восстановить доступ к криптоактивам. Ключом ко взлому, как ни странно, послужила уязвимость старых моделей кошелька.*

Во время обновления кошельки Trezor One временно перемещали PIN-код и ключ в ОЗУ, а затем возвращали их обратно во флэш-память. Гранд обнаружил, что в версии, установленной на кошельке Райха, эта информация не перемещалась, а копировалась в оперативную память. Это означает, что в случае неудачного взлома и стирания оперативной памяти PIN-код и ключ все равно будут храниться во флэш-памяти.

После кибератаки с внедрением ошибок – метода, который изменяет напряжение, подаваемое на чип, – Гранд смог обойти систему безопасности микроконтроллеров, нацеленную на предотвращение считывания ОЗУ хакерами, и получил PIN-код, необходимый для доступа к кошельку.

Цитата:
«Мы в основном вызываем неправильное поведение кремниевого чипа внутри устройства, чтобы обойти систему безопасности. В конце концов я смог обойти защиту и получить доступ к личной информации, сид-фразе для восстановления и PIN-коду», – объяснил Гранд.
Ранее производитель аппаратных кошельков Ledger сообщил об уязвимости, позволяющей считывать данные из оперативной памяти кошелька. По его словам, эта уязвимость встречается лишь в старых моделях и устранена ??на новых устройствах. Но до тех пор, пока не будут внесены изменения в механизм внедрения ошибок микроконтроллера, атаки по-прежнему могут представлять опасность для владельцев кошелька.

В 2020 году разработчик аппаратного кошелька BitBox02 заявил, что устройства Trezor могут быть уязвимы к атакам с требованием выкупа в криптовалютах. В 2019 году подразделение по информационной безопасности Ledger Donjon проверило аппаратные кошельки различных производителей и оказалось, что устройства Trezor можно взломать всего за 5 минут.

Источник: Bits.media
polym0rph вне форума
Войдите, чтобы оставить комментарий.
Быстрый переход
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Взломавший Poly Network хакер вернул все криптоактивы polym0rph Новости криптовалют 0 24.08.2021 21:57
Аргентинец нашёл $500 000, вернул их владельцу и взамен попросил только работу вбелую OPLOTT Новости в мире финансов и инвестиций 4 22.03.2019 00:46
Хакер взломал сайт трамвайного сервиса Дублина и требует 1 BTC Denver10 Горячие новости 0 04.01.2019 14:03
Хакер взломал iOS 10 через 3 дня после релиза (ВИДЕО) ttxz Новости технологий и интернета 2 17.06.2016 23:36
Хакер взломал смарт-часы Apple Watch и установил на них веб-браузер Gosha77 Софт 0 12.05.2015 22:25