Luka w portfelu kryptowalutowym KeepKey
Kraken Security Labs, zespół zatrudniony przez popularną giełdę kryptowalut – Kraken, poinformował o pewnym problemie. Programiści ogłosili, że znaleźli lukę umożliwiającą włamanie się do fizycznego portfelu kryptowalut – KeepKey.
Spis treści
Na czym polega błąd?
Atak opisany przez Kraken Security Labs polega na wykorzystaniu różnic w napięciu elektrycznym. W ten sposób możliwe jest wykradnięcie dostępu do kluczy dostępu (ang. Seed) portfela kryptowalutowego. Seed jest ciągiem znaków, który przechowuje wszystkie informacje potrzebne do odtworzenia zawartości cyfrowych aktywów znajdujących się w portfelu. Często wykorzystywany jest przy backupach, czyli przywracaniu zawartości po zgubieniu klucza prywatnego.
Klucz publiczny twojego portfela jest przechowywany w blockchainie, czyli jest ogólnodostępny i każdy może go znaleźć z dowolnego miejsca. Klucz prywatny trzymasz przy sobie, nie możesz go nikomu udostępnić. Jest to długi ciąg wielu przypadkowych znaków i cyfr. Nawet jego zapisanie jest skomplikowane, nie mówiąc o spamiętaniu całości. Dlatego wprowadzono metodę szyfrowania za pomocą fraz odzyskiwania (z ang.: mnemonic phase).
Publikacja ekipy od zabezpieczeń
Zespół szacuje, że sprzęt potrzebny do przeprowadzenia takiego ataku można nabyć już za około 75 USD. Włamu nie można dokonać zdalnie, gdyż wymaga on fizycznego dostępu do urządzenia. Kraken Security Labs informuje, iż taka kradzież jest możliwa dzięki pewnemu mikrokontrolerowi, który został zastosowany w ledgerach KeepKey. Co za tym idzie, zespół KeepKey nie może pozbyć się luki w zabezpieczeniach portfela, bez przeprojektowania ich struktury.
ShapeShift – firma stojąca za portfelem KeepKey, zareagowała na publiczne ujawnienie luki przez Kraken Security Labs. Współtwórcy portfela twierdzą, że zespół giełdy kryptowalutowej skontaktował się z nimi w sprawie odkrytego błędu już we wrześniu. Firma utrzymuje jednak, że sami wykryli niezgodność 2 miesiące wcześniej, czyli w czerwcu. ShapeShift odpowiedziało, że wpis działu od zabezpieczeń Krakena jest mylący.
„Stwierdzenie, że urządzenie można zhakować w ciągu 15 minut jest nieprawdziwe. Ponadto wykonanie takiego ataku wymaga znacznego przygotowania, a także posiadania specjalistycznego sprzętu oraz rozległej wiedzy informatycznej. Dodatkowo trzeba mieć fizyczny dostęp do portfela.”
Uwaga
Jeśli jesteś właścicielem portfela KeepKey, zarówno ShapeShift, jak i Kraken Security Labs zalecają włączenie funkcji hasła BIP 39. Spowoduje to dodanie dodatkowej warstwy chroniącej, ponieważ BIP 39 nie jest przechowywany w samym urządzeniu.
Bitcoina i inne kryptowaluty kupisz w prosty i bezpieczny sposób na giełdzie zondacrypto.
Na rynku kryptowalut od 2013 r. Współorganizowałem pierwsze w Polsce konsultacje społeczne w Sejmie dotyczące technologii blockchain, a także Polski Kongres Bitcoin, w ramach którego wystąpił Andreas Antonopoulos. Współpracowałem z posłami na Sejm RP, w celu przygotowania interpelacji na temat takich kwestii jak: kryptowaluty, CBDC czy technologia blockchain. Interesuje się historią, ekonomią, polityką i oczywiście technologią blockchain.
Na rynku kryptowalut od 2013 r. Współorganizowałem pierwsze w Polsce konsultacje społeczne w Sejmie dotyczące technologii blockchain, a także Polski Kongres Bitcoin, w ramach którego wystąpił Andreas Antonopoulos. Współpracowałem z posłami na Sejm RP, w celu przygotowania interpelacji na temat takich kwestii jak: kryptowaluty, CBDC czy technologia blockchain. Interesuje się historią, ekonomią, polityką i oczywiście technologią blockchain.
Newsletter Bitcoin.pl
Więcej niż bitcoin i kryptowaluty. Najważniejsze newsy i insiderskie informacje prosto na Twój email.
Dbamy o ochronę Twoich danych. Przeczytaj naszą Politykę Prywatności