Kraken: устройство за 75 долларов позволит вам использовать аппаратный Криптo KeepKey

Kraken Security Lab заявила, что Криптo криптокошелек KeepKey не предпринимает достаточных мер для защиты клиентов от физических атак, заявив, что ему удалось проникнуть в систему с помощью устройства стоимостью 75 долларов.

«Все, что требуется, — это физический доступ к кошельку в течение примерно 15 минут», — говорится в заявлении компании.запись в блоге во вторник.

Kraken Security Lab заявила, что KeepKey уже знает о подобных физических атаках, но, похоже, больше внимания уделяет защите ключей пользователей от удаленных атак, ссылаясь назаявлениеот Shapeshift, родительской версии KeepKey, 13 июня.

Атаки могут извлекать фразы, которые могут помочь пользователям восстановить и создать резервную копию своих кошельков из устройства, вызывающего сбои напряжения, стоимостью около 75 долларов.

Однако Майкл Перклин, директор по информационной безопасности Shapeshift, заявил, что заявление Kraken Security вводит в заблуждение, согласно заявлению, полученному CoinDesk. Криптo биржа приобретенный стартап аппаратного кошелька KeepKey за нераскрытую сумму в августе 2017 года для разработки своей Технологии и обеспечения безопасности для своих держателей Криптo .

«Эта атака требует не только физического владения устройством, но и значительной подготовки и опыта, а также специального оборудования», — сказал Перклин.

«Стоимость возможна только в том случае, если человек обладает чрезвычайно глубоким пониманием того, что необходимо», — добавил он. «У среднестатистического человека не будет образования в области проектирования оборудования или компьютерных наук, чтобы пойти и выбрать детали за 75 долларов и успешно собрать инструмент для использования в этом типе атаки».

Kraken Security Lab сообщила в своем блоге, что, хотя от физических атак трудно защититься, она обнаружила, что фокус Keepkey на удаленных атаках «потенциально не соответствует брендингу [его] продукта».

Перклин ответил, что KeepKey приняла меры для защиты своих пользователей от потенциальных физических атак до того, как Kraken уведомил ее.

«Мы рекомендуем нашим пользователям использовать парольные фразы BIP39, которые добавляют дополнительный уровень безопасности», — сказал Перклин. «Процесс относительно прост, и мы предоставили пошаговые инструкции по настройке BIP39 в заявлении от 13 июня».

ONE из причин, по которой такие физические атаки трудно предотвратить, является необходимость KeepKey перепроектировать свое оборудование. В частности, Kraken Security Lab утверждает, что кошельку необходимо заменить микроконтроллер из-за «врожденных недостатков», которые могут быть использованы хакерами.

«Важно понимать, что если вы физически потеряете свой KeepKey, эта уязвимость может быть использована для доступа к вашим Криптo», — говорится в сообщении в блоге.

«Это очень похоже на аналогию с дверным замком. Вы можете менять замки на своей двери так часто, как захотите, но кто-то с достаточным количеством времени и опыта всегда сможет взломать замок», — ответил Перклин.

«Изменение конструкции KeepKey или использование другого микроконтроллера может замедлить действия злоумышленника, если у него есть физическое устройство, но это не остановит его, если он решителен, опытен и имеет достаточно времени для взлома», — добавил он.

Kraken Security Lab заявила, что раскрыла все подробности этой угрозы атаки KeepKey 11 сентября и теперь публикует их, чтобы Криптo могло защитить себя. Shapeshift подтвердила, что получила информацию и просила своих пользователей использовать парольную фразу BIP39 до этого времени.