Poof goes your crypto: Ledger и Trezor взломали в прямом эфире
Эксперты по кибербезопасности из Wallet.fail успешно атаковали хардварные кошельки Trezor и Ledger во время Chaos Communication Congress, который проходит в Германии. Пользователи могли в режиме онлайн наблюдать за увлекательным действом:
«Сегодня мы покажем, как взломать самые популярные аппаратные криптокошельки».
Вооружившись инструментарием и девизом «Poof goes your crypto» команда Wallet.fail принялась за дело. А список дел добропорядочных немецких хакеров выглядел так:
- Перехватить пин Ledger Blue.
- Хакнуть бут Nano S и подписать транзакции.
- Извлечь пин и мнемоядро из RAM для Trezor.
И все это — простая демонстрация.
Специалисты объяснили — баги повсюду: софте и харде, веб-интерфейсе, архитектуре ПО и прочих пыльных уголках. Проще говоря:
«Широкое изучение выявило повторяющиеся идентичные проблемы».
Часть уязвимостей можно устранить, обновив прошивку или заменив контроллер.
remotely signing a transaction without touching the tampered Ledger Nano S (which passes genuine check btw) pic.twitter.com/X1rwSZs21x
— Afri 🌩️ (@5chdn) December 27, 2018
Тем временем, группа реальных хакеров взломала один из старейших цифровых кошельков Electrum, похитив биткоины на сумму около $ 740,000. Для этого им понадобилось лишь убедить пользователей скачать с GitHub фейковый кошелек.
Любопытно, но упомянутый Trezor в ноябре пострадал от похожей атаки — мошенникам удалось убедить пользователей не просто скачать сомнительное ПО, а купить не совсем настоящий аппаратный Trezor One.
Подписывайтесь на наш Telegram канал. Будьте в курсе новых статей.