Розробники апаратного гаманця Coldcard випустили прошивку для усунення критичної уразливості

Розробники апаратного гаманця для біткоіни Coldcard випустили бета-патч прошивки для усунення вразливості, которая затронула аппаратный кошелек Ledger ранее в этом году.

Исследователь безопасности Бен Ма (Ben Ma), работающий на производителя аппаратных кошельков Shift Crypto, обнаружил уязвимость в аппаратном кошельке Coldcard. Злоумышленник может обманом заставить пользователя Coldcard отправить настоящую транзакцию BTC, тогда как он считает, что отправляет транзакцию в тестовой сети.

Транзакции BTC как в тестовой, так и в основной сети «имеют одно и то же представление транзакции», – пишет Ма в блоге Shift Crypto. Злоумышленник может сгенерировать транзакцию основной сети Биткоина для аппаратного кошелька, но сделать ее похожей на транзакцию тестовой сети. Это затрудняет распознавание ошибки пользователями.

Ма узнал об уязвимости после того, как анонимный исследователь обнаружил так называемую атаку «обхода изоляции» в аппаратном кошельке Ledger. Когда была обнаружена первоначальная уязвимость, основатель Coinkite и создатель Coldcard Родольфо Новак (Rodolfo Novak) сказал:

«Coldcard не поддерживает никакихшиткоинов”, мы считаем, что это лучший путь».

По его мнению, содержащий только BTC кошелек будет безопасным, поскольку уязвимость отчасти возникла из-за того, что кошельки Ledger ранее позволяли управлять разными монетами, используя один и тот же закрытый ключ. Поскольку Coldcard не поддерживает несколько монет, теоретически в кошельке не должно быть этой проблемы. Однако кошелек может быть использован для транзакций в тестовой сети Биткоина и это открывает лазейку для хакеров.

Если компьютер пользователя скомпрометирован, а его кошелек Coldcard разблокирован и подключен к этому устройству, злоумышленник может обманом заставить его отправить BTC в основной сети вместо транзакции в тестовой сети.

«Злоумышленник просто должен убедить пользователя попробовать транзакцию в тестовой сети, применив любую атаку социальной инженерии. После того, как пользователь подтверждает транзакцию тестовой сети, злоумышленник получает BTC основной сети в том же объеме», – пишет Ма в блоге.

Поскольку злоумышленник может выполнить эту атаку удаленно, уязвимость соответствует критериям критической проблемы Shift Crypto, что привело к необходимости раскрытия информации. Согласно статье, Ма раскрыл уязвимость Coinkite 4 августа, и Новак признал ее наличие на следующий день. 23 ноября Coldcard выпустил бета-версию
прошивки для устранения уязвимости.

Нагадаємо, что недавно пользователи кошельков Ledger потеряли
более 1 150 000 XRP, став жертвами мошенников, проводивших фишинговые атаки и завлекавших людей на поддельный сайт.


Свіжі новини криптовалюта на сьогодні ...

Израильская майнинговая компания Bitfarms объявила о развертывании на своих мощностях 1 000 ASIC-майнеров Whatsminer M31S. Еще 3 000 устройств будут ...
Докладніше ...
Криптовалютная биржа Huobi возвращается в США спустя год после прекращения обслуживания резидентов страны – компания получила трастовую лицензию в штате ...
Докладніше ...
База данных с информацией о более 270 000 пользователей аппаратных кошельков Ledger, содержащая в том числе их имена и физические ...
Докладніше ...
Протокол децентрализованных финансов (DeFi) Warp Finance подвергся атаке с использованием быстрых кредитов. Хакер смог вывести с платформы стейблкоины стоимостью $7.7 ...
Докладніше ...
Национальный банк Кыргызстана вынес на общественное обсуждение два законопроекта «Об обороте криптовалют» и «О внесении изменений в некоторые законодательные акты ...
Докладніше ...
Управление контролера денежного обращения США (OCC) разрешило американским банкам и федеральным сберегательным ассоциациям использовать открытые блокчейны и стейблкоины для проведения ...
Докладніше ...
9 декабря Совет Фонда развития цифровой экономики РФ утвердил создание Комитета по вопросам цифровых финансовых активов (ЦФА) и цифровой валюты ...
Докладніше ...
Житель российской столицы при личной встрече продал биткоины на 12 млн, однако сумка с деньгами была украдена сразу после сделки ...
Докладніше ...
Платежная компания Square, созданная основателем Twitter Джеком Дорси, выделит $10 млн для поддержки майнинга биткоина с использованием возобновляемых источников энергии ...
Докладніше ...
Департамент акцизов Таиланда планирует внедрить систему на базе блокчейна для повышения эффективности сбора налогов и восстановления экономики страны после пандемии ...
Докладніше ...