Распрацоўшчыкі апаратнага кашалька Coldcard выпусцілі прашыўку для ліквідацыі крытычнай уразлівасці

Распрацоўшчыкі апаратнага кашалька для биткоина Coldcard выпусцілі бэта-патч прашыўкі для ўхілення ўразлівасці, которая затронула аппаратный кошелек Ledger ранее в этом году.

Исследователь безопасности Бен Ма (Ben Ma), работающий на производителя аппаратных кошельков Shift Crypto, обнаружил уязвимость в аппаратном кошельке Coldcard. Злоумышленник может обманом заставить пользователя Coldcard отправить настоящую транзакцию BTC, тогда как он считает, что отправляет транзакцию в тестовой сети.

Транзакции BTC как в тестовой, так и в основной сети «имеют одно и то же представление транзакции», – пишет Ма в блоге Shift Crypto. Злоумышленник может сгенерировать транзакцию основной сети Биткоина для аппаратного кошелька, но сделать ее похожей на транзакцию тестовой сети. Это затрудняет распознавание ошибки пользователями.

Ма узнал об уязвимости после того, как анонимный исследователь обнаружил так называемую атаку «обхода изоляции» в аппаратном кошельке Ledger. Когда была обнаружена первоначальная уязвимость, основатель Coinkite и создатель Coldcard Родольфо Новак (Rodolfo Novak) сказал:

«Coldcard не поддерживает никакихшиткоинов”, мы считаем, что это лучший путь».

По его мнению, содержащий только BTC кошелек будет безопасным, поскольку уязвимость отчасти возникла из-за того, что кошельки Ledger ранее позволяли управлять разными монетами, используя один и тот же закрытый ключ. Поскольку Coldcard не поддерживает несколько монет, теоретически в кошельке не должно быть этой проблемы. Однако кошелек может быть использован для транзакций в тестовой сети Биткоина и это открывает лазейку для хакеров.

Если компьютер пользователя скомпрометирован, а его кошелек Coldcard разблокирован и подключен к этому устройству, злоумышленник может обманом заставить его отправить BTC в основной сети вместо транзакции в тестовой сети.

«Злоумышленник просто должен убедить пользователя попробовать транзакцию в тестовой сети, применив любую атаку социальной инженерии. После того, как пользователь подтверждает транзакцию тестовой сети, злоумышленник получает BTC основной сети в том же объеме», – пишет Ма в блоге.

Поскольку злоумышленник может выполнить эту атаку удаленно, уязвимость соответствует критериям критической проблемы Shift Crypto, что привело к необходимости раскрытия информации. Согласно статье, Ма раскрыл уязвимость Coinkite 4 августа, и Новак признал ее наличие на следующий день. 23 ноября Coldcard выпустил бета-версию
прошивки для устранения уязвимости.

Нагадаем, что недавно пользователи кошельков Ledger потеряли
более 1 150 000 XRP, став жертвами мошенников, проводивших фишинговые атаки и завлекавших людей на поддельный сайт.


Апошнія навіны криптовалют на сёння ...

Базирующийся в Израиле центр разработки Tezos выпустит устройство для обеспечения безопасности заблокированных для стейкинга активов валидаторов. Tezos Israel сообщил в ...
Больш падрабязна ...
Итальянская полиция обвиняет управляющего обанкротившейся биржи BitGrail в серии взломов площадки, во время которых были украдены криптоактивы стоимостью €120 млн ...
Больш падрабязна ...
Директор Управления контролера денежного обращения США (OCC) Брайан Брукс (Brian Brooks) снова выступил с призывом разработки современного регулирования криптовалют и ...
Больш падрабязна ...
Управление по финансовым рынкам (FMA) предупредило жителей Новой Зеландии о риске инвестиций в криптовалюты, их высокой волатильности, а также отсутствии ...
Больш падрабязна ...
Заместитель председателя Центрального банка России Алексей Заботкин считает, что биткоин и другие криптоактивы не обладают свойствами денег и не являются ...
Больш падрабязна ...
Президент РФ Владимир Путин 10 декабря подписал новый указ, согласно которому российские чиновники должны будут предоставить отчетность о владении криптовалютами ...
Больш падрабязна ...
Говард Маркс (Howard Marks), сооснователь компании Oaktree Capital Group, под управлением которой находятся активы на $140 млрд, рассказал, что его ...
Больш падрабязна ...
Президент Европейского центрального банка (ЕЦБ) Кристин Лагард назвала биткоин «чрезмерно спекулятивным активом», которому необходим надзор регуляторов. Об этом Лагард заявила ...
Больш падрабязна ...
Согласно принятому парламентом Абхазии постановлению, Кабинет министров страны рекомендует запретить майнинг криптовалют до 1 июня 2021 года. Как сообщает Спутник.Абхазия, ...
Больш падрабязна ...
Вторичные рынки для ASIC-майнеров активизировались на фоне роста спроса со стороны майнеров. К этому привели задержки отгрузок крупнейшими производителями оборудования ...
Больш падрабязна ...