• Кошелек хранит мнемоническую фразу и другие данные в виде незашифрованного текста
  • Получив доступ к сопряженному телефону, злоумышленник может украсть средства
  • Уязвимость уже идентифицирована, но вопрос безопасности кошелька до сих пор актуален

Исследовательский отдел криптовалютной биржи Kraken Security Labs выявил еще одну критическую уязвимость в аппаратном криптовалютном кошельке.

На этот раз критическая уязвимость была найдена в «холодном» кошельке от CoolBitX под названием CoolWallet S. Это аппаратный кошелек размером с кредитную карту, который соединяется с приложениями для мобильных телефонов (на операционной системе Android и iOS) через Bluetooth-соединение.

В Kraken Security Labs обнаружили, что версия приложения Android под CoolWallet S хранит PIN-код кошелька, пароль для сопряжения, а также мнемоническую фразу в виде открытого текста.

Эта уязвимость означает, что в случае потенциального взлома мобильного телефона посредством физической кражи или же удаленного вредоносного ПО, злоумышленник может легко получить все необходимое для очистки сопряженного аппаратного кошелька.

Мнемоническая фраза функционально совпадает с личным ключом. Таким образом, если злоумышленник сможет получить фразу, он может ввести ее в любом другом цифровом/аппаратном кошельке и получить полный контроль над криптовалютными средствами, отмечают в Kraken.

Цепочка уязвимостей

Более того, аппаратный кошелек зависит от защиты сопряженного с ним мобильного телефона. Если злоумышленник сможет получить как телефон жертвы, так и кошелек, то он сможет разблокировать кошелек и либо связать его с другим телефоном, либо отправить средства прямо с устройства на другой криптовалютный кошелек.

Другие производители требуют ввода отдельного PIN-кода на кошелек в качестве дополнительного уровня безопасности, но CoolWallet S этого не делает, подчеркивают в Kraken Security Labs.

Решение есть, ответа нет

В Kraken заявили, что после обнаружения уязвимости, биржа сразу связалась с CoolWallet S 2 января, после чего, производитель криптокошелька выпустил обновление.

Перестал ли кошелек CoolWallet S хранить мнемоническую фразу в незашифрованном тексте — остается неизвестно.

Ранее в Kraken удалось всего за 15 минут взломать другой криптовалютный кошелек — Trezor. Тогда атака была основана на сбое напряжения для расшифровки начального числа ключа.

В случае с Trezor, злоумышленниками уже необходимо было определенное оборудование, какое именно – в Kraken Security Labs, конечно же, не рассказали, но уточнили, что его стоимость может не превышать и $75.

Денис Омельченко

Новостной журналист рынка криптовалютных активов и блокчейна с 2016 года. Колумнист новостного отдела Currency.com и новостной репортер англоязычного издания iHodl.com. Обозревал блокчейн-стартапы для криптокошелька Atomic Wallet и поддерживал развитие сообщества криптопроекта Amoveo.

Подпишись:

Хотите знать больше?

Подписывайтесь на наш телеграм-канал и получайте торговые сигналы, доступ к бесплатным обучающим курсам и общайтесь с единомышленниками и криптотрейдерами!

Мы используем файлы cookies.
Нажмите здесь, to чтобы подтвердить свое согласие на использование cookies. Ознакомьтесь с нашей политикой конфиденциальности

Мы обсуждаем эту тему в нашем телеграм-канале прямо сейчас

Присоединяйтесь

Присоединяйтесь к сообществу крипто-трейдеров в нашем Telegram-канале

Присоединиться

Мы обсуждаем эту тему в нашем телеграм-канале прямо сейчас.

Присоединяйтесь

Мы обсуждаем эту тему в нашем телеграм-канале прямо сейчас.

Присоединяйтесь