Ваш крипто-кошелек — это как пиньята для хакеров 🎉

Итак, исследователи только что бросили бомбу: некоторые аппаратные криптокошельки ненадежны как экранная дверь на подводной лодке. 🚨 Оказавается, злоумышленники могут проникнуть внутрь, подписать неавторизованные транзакции биткоина и украсть ваши приватные ключи, словно угощая конфетами ребенка.

🐢

Ищешь ракеты? Это не к нам. У нас тут скучный, медленный, но надёжный, как швейцарские часы, фундаментальный анализ.

Инвестировать в индекс

Вот и гвоздь программы: виновником является микроконтроллер ESP32 китайского производства, который можно сравнить со швейцарским ножом для встроенных систем. По данным Crypto Deep Tech (да, это реальное название компании), этот чип — как бомба замедленного действия в таких кошельках, как Blocksstream Jade, и открытых проектах вроде Bowser и Colibri.

Почему это имеет такое большое значение? Потому что эти чипы должны быть стражниками вашего криптокоролевства. Вместо этого они похожи на охранника клуба, который пускает всех с поддельным удостоверением личности. Атакующие могут использовать Bluetooth и Wi-Fi чипа для внедрения вредоносных обновлений, получения низкоуровневого доступа и кражи ваших приватных ключей быстрее, чем вы успеете сказать «Холд!» (hodl — держать позицию)

О, а что касается генератора случайных чисел чипа? Он настолько слаб, что по сути бросается кубиками с одной стороной. Добавьте к этому сломанные проверки валидации, и вы получите рецепт катастрофы.

Кошельки на основе Electrum особенно в тупике. Логика хеширования чипа настолько нарушена, что злоумышленники могут подделывать подписи ECDSA, выглядящие подлинными. Это как подписать чек карандашом, и банк все равно его обналичит.

В реальном испытании исследователи воспользовались этой уязвимостью, чтобы украсть 10 BTC, и пользователь даже не заметил этого. Это как если бы кто-то проник в ваш дом, украл телевизор и оставил благодарственную записку.

Но подождите, это еще не все! Это не просто проблема криптовалюты. Чип ESP32 используется во множестве устройств, поэтому данная уязвимость может привести к атакам на цепочку поставок, шпионажу государственного уровня и скоординированным кампаниям по краже данных. 🌍 В общем, это как зомби-апокалипсис для кибербезопасности.

Так что же можно сделать? Исследователи предлагают использовать проверенные устройства, поддерживать актуальное ПО для Биткойна и полагаться на безопасные криптографические библиотеки. Или, знаете, просто хранить криптовалюту под матрасом.

Аппаратные кошельки должны были стать криптографическим эквивалентом Форт Нокса, но оказалось, что они больше похожи на картонную коробку со знаком «Вход воспрещён». В прошлом месяце компания Ledger Donjon обнаружила, что последние модели Safe от Trezor всё ещё уязвимы для физических атак. ️ Несмотря на сертифицированный безопасный элемент, чип на базе STM32 может быть эксплуатирован методом глюча напряжения, который так же хитроумён, как звучит. ⚡

Мораль этой истории? Ваша криптовалюта никогда не бывает по-настоящему безопасной. Зато теперь у вас есть отличный повод купить тот сейф, на который вы давно смотрели.

Смотрите также

2025-04-16 12:44