Bezpieczeństwo

Luka w portfelu kryptowalutowym KeepKey

Kraken Security Labs, zespół zatrudniony przez popularną giełdę kryptowalut – Kraken, poinformował o pewnym problemie. Programiści ogłosili, że znaleźli lukę […]

Data publikacji: 11 grudnia 2019

bitbay

Kraken Security Labs, zespół zatrudniony przez popularną giełdę kryptowalut – Kraken, poinformował o pewnym problemie. Programiści ogłosili, że znaleźli lukę umożliwiającą włamanie się do fizycznego portfelu kryptowalut – KeepKey.

Na czym polega błąd?

Atak opisany przez Kraken Security Labs polega na wykorzystaniu różnic w napięciu elektrycznym. W ten sposób możliwe jest wykradnięcie dostępu do kluczy dostępu (ang. Seed) portfela kryptowalutowego. Seed jest ciągiem znaków, który przechowuje wszystkie informacje potrzebne do odtworzenia zawartości cyfrowych aktywów znajdujących się w portfelu. Często wykorzystywany jest przy backupach, czyli przywracaniu zawartości po zgubieniu klucza prywatnego.

Klucz publiczny twojego portfela jest przechowywany w blockchainie, czyli jest ogólnodostępny i każdy może go znaleźć z dowolnego miejsca. Klucz prywatny trzymasz przy sobie, nie możesz go nikomu udostępnić. Jest to długi ciąg wielu przypadkowych znaków i cyfr. Nawet jego zapisanie jest skomplikowane, nie mówiąc o spamiętaniu całości. Dlatego wprowadzono metodę szyfrowania za pomocą fraz odzyskiwania (z ang.: mnemonic phase).

Publikacja ekipy od zabezpieczeń

Zespół szacuje, że sprzęt potrzebny do przeprowadzenia takiego ataku można nabyć już za około 75 USD. Włamu nie można dokonać zdalnie, gdyż wymaga on fizycznego dostępu do urządzenia. Kraken Security Labs informuje, iż taka kradzież jest możliwa dzięki pewnemu mikrokontrolerowi, który został zastosowany w ledgerach KeepKey. Co za tym idzie, zespół KeepKey nie może pozbyć się luki w zabezpieczeniach portfela, bez przeprojektowania ich struktury.

ShapeShift – firma stojąca za portfelem KeepKey, zareagowała na publiczne ujawnienie luki przez Kraken Security Labs. Współtwórcy portfela twierdzą, że zespół giełdy kryptowalutowej skontaktował się z nimi w sprawie odkrytego błędu już we wrześniu. Firma utrzymuje jednak, że sami wykryli niezgodność 2 miesiące wcześniej, czyli w czerwcu. ShapeShift odpowiedziało, że wpis działu od zabezpieczeń Krakena jest mylący.

„Stwierdzenie, że urządzenie można zhakować w ciągu 15 minut jest nieprawdziwe. Ponadto wykonanie takiego ataku wymaga znacznego przygotowania, a także posiadania specjalistycznego sprzętu oraz rozległej wiedzy informatycznej. Dodatkowo trzeba mieć fizyczny dostęp do portfela.”

Uwaga

Jeśli jesteś właścicielem portfela KeepKey, zarówno ShapeShift, jak i Kraken Security Labs zalecają włączenie funkcji hasła BIP 39. Spowoduje to dodanie dodatkowej warstwy chroniącej, ponieważ BIP 39 nie jest przechowywany w samym urządzeniu.

Satsback bitcoin cashback

Black Friday Promotion