Kraken : un appareil à 100 $ vous permettra d'accéder au portefeuille matériel de Crypto KeepKey

Kraken Security Lab a déclaré que le portefeuille matériel Crypto KeepKey ne faisait pas assez pour protéger les clients contre les attaques physiques, affirmant qu'il avait pu entrer dans le système à l'aide d'un appareil à 75 $.

« Tout ce qui est requis est un accès physique au portefeuille pendant environ 15 minutes », a déclaré la société dans un communiqué.article de blogle mardi.

Kraken Security Lab a déclaré que KeepKey était déjà au courant d'attaques physiques similaires, mais semble se concentrer davantage sur la protection des clés des utilisateurs contre les attaques à distance, citant undéclarationdu parent de KeepKey, Shapeshift, le 13 juin.

Les attaques peuvent extraire des graines qui pourraient aider les utilisateurs à restaurer et à sauvegarder leurs portefeuilles à partir d'un appareil de détection de tension coûtant environ 75 $.

Cependant, Michael Perklin, responsable de la sécurité informatique de Shapeshift, a déclaré que la déclaration de Kraken Security était trompeuse, selon un communiqué reçu par CoinDesk. La plateforme d'échange de Crypto acquis La startup de portefeuille matériel KeepKey a investi en août 2017 pour un montant non divulgué afin de développer sa Technologies et sa sécurité pour ses détenteurs de Crypto .

« Non seulement cette attaque nécessite la possession physique de l’appareil, mais elle nécessiterait également une préparation et une expertise importantes, ainsi qu’un équipement spécialisé », a déclaré Perklin.

« Ce coût n'est envisageable que si la personne possède une compréhension extrêmement pointue des besoins », a-t-il ajouté. « Une personne lambda n'aurait pas les connaissances en conception matérielle ou en informatique nécessaires pour choisir des composants pour 75 $ et assembler avec succès un outil permettant de réaliser ce type d'attaque. »

Kraken Security Lab a déclaré dans son article de blog que même si les attaques physiques sont difficiles à contrer, il a trouvé que l'accent mis par Keepkey sur les attaques à distance « potentiellement en décalage avec l'image de marque de [son] produit ».

Perklin a répondu que KeepKey avait pris des mesures pour protéger ses utilisateurs contre d'éventuelles attaques physiques avant que Kraken ne l'en informe.

« Nous recommandons à nos utilisateurs d'utiliser les mots de passe BIP39, qui renforcent la sécurité », a déclaré Perklin. « Le processus est relativement simple et nous avons fourni des instructions détaillées sur la configuration de BIP39 dans notre communiqué du 13 juin. »

ONEune des raisons pour lesquelles de telles attaques physiques sont difficiles à prévenir est que KeepKey doit repenser son matériel. Selon Kraken Security Lab, le portefeuille doit notamment changer de microcontrôleur en raison de « défauts inhérents » susceptibles d'être exploités par des pirates.

« Il est important de comprendre que si vous perdez physiquement votre KeepKey, cette vulnérabilité pourrait être utilisée pour accéder à votre Crypto», selon le billet de blog.

« C'est un peu comme l'analogie avec la serrure d'une porte. Vous pouvez changer les serrures de votre porte aussi souvent que vous le souhaitez, mais quelqu'un avec suffisamment de temps et d'expertise pourra toujours la crocheter », a répondu Perklin.

« Repenser KeepKey ou utiliser un microcontrôleur différent pourrait ralentir un attaquant s'il dispose du dispositif physique, mais cela ne l'arrêtera pas s'il est déterminé, compétent et a suffisamment de temps pour s'introduire », a-t-il ajouté.

Kraken Security Lab a déclaré avoir divulgué tous les détails de cette menace d'attaque à KeepKey le 11 septembre et les rendre publics afin que la communauté Crypto puisse se protéger. Shapeshift a confirmé avoir reçu l'information et avoir demandé à ses utilisateurs d'utiliser la phrase secrète BIP39 avant cette date.