Белый хакер взломал кошелек Trezor One и вернул владельцу криптоактивы на сумму более $2 млн
Компьютерный инженер Джо Гранд использовал уязвимость аппаратного кошелька Trezor One, чтобы вернуть криптоактивы на сумму более $2 млн пользователю, потерявшему PIN-код. Белый хакер Джо Гранд (Joe Grand), известный под ником «Kingpin» («Вор в законе»), разместил на Youtube видео, в котором рассказал, как ему удалось взломать аппаратный кошелек Trezor One. Таким образом компьютерный инженер из Портленда помог вернуть деньги предпринимателю из Нью-Йорка Дэну Райху (Dan Reich), который потерял PIN-код от кошелька. Еще в 2018 году Райх решил обналичить около $50 000, однако обнаружил, что потерял PIN-код от кошелька, на котором хранилась криптовалюта. После 12 безуспешных попыток угадать PIN-код он решил отложить вывод средств до лучших времен, чтобы избежать автоматической блокировки кошелька после 16 неправильных попыток. Однако в этом году стоимость криптоактивов, хранящихся на кошельке Райха, выросла до $2 млн, и он решил пойти на крайние меры, чтобы получить деньги. Без сид-фразы или PIN-кода единственным способом вернуть доступ к криптоактивам оставался взлом. Райх связался с Грандом и предложил взломать кошелек. Белый хакер на протяжении 12 недель пытался восстановить утерянный PIN-код. За это время он совершил множество проб и ошибок, но в конце концов нашел способ восстановить доступ к криптоактивам. Ключом ко взлому, как ни странно, послужила уязвимость старых моделей кошелька. Во время обновления кошельки Trezor One временно перемещали PIN-код и ключ в ОЗУ, а затем возвращали их обратно во флэш-память. Гранд обнаружил, что в версии, установленной на кошельке Райха, эта информация не перемещалась, а копировалась в оперативную память. Это означает, что в случае неудачного взлома и стирания оперативной памяти PIN-код и ключ все равно будут храниться во флэш-памяти. После кибератаки с внедрением ошибок – метода, который изменяет напряжение, подаваемое на чип, – Гранд смог обойти систему безопасности микроконтроллеров, нацеленную на предотвращение считывания ОЗУ хакерами, и получил PIN-код, необходимый для доступа к кошельку. «Мы в основном вызываем неправильное поведение кремниевого чипа внутри устройства, чтобы обойти систему безопасности. В конце концов я смог обойти защиту и получить доступ к личной информации, сид-фразе для восстановления и PIN-коду», – объяснил Гранд. Ранее производитель аппаратных кошельков Ledger сообщил об уязвимости, позволяющей считывать данные из оперативной памяти кошелька. По его словам, эта уязвимость встречается лишь в старых моделях и устранена на новых устройствах. Но до тех пор, пока не будут внесены изменения в механизм внедрения ошибок микроконтроллера, атаки по-прежнему могут представлять опасность для владельцев кошелька. В 2020 году разработчик аппаратного кошелька BitBox02 заявил, что устройства Trezor могут быть уязвимы к атакам с требованием выкупа в криптовалютах. В 2019 году подразделение по информационной безопасности Ledger Donjon проверило аппаратные кошельки различных производителей и оказалось, что устройства Trezor можно взломать всего за 5 минут.
- 7 Фев, 15:59
Tesla владеет криптовалютой Bitcoin на сумму около $2 млрд
В то время Tesla отметила, что она не продавала свою долю Bitcoin и планирует возобновить приём платежей в этой криптовалюте, как только сеть продемонстрирует более высокое использование энергии из возобновляемых источников. Летом прошлого года генер...
- 7 Фев, 15:40
Майнер рассказал о том, как безопасно хранить криптовалюту и не переживать о взломе и хакерах
Криптовалюту можно хранить на биржевых горячих кошельках, большинство из которых имеет мобильную версию. Особенных различий нет, ведь вы фактически отдаёте свои деньги под честное слово, не имея никаких процентов и не получая прибыли. За это вам позв...
- 5 Фев, 13:27
Неизвестный хакер в очередной раз взломал платформу Solana: украдены миллионы долларов
Взломанный, так называемый коммуникационный мост, соединяющий Solana с другими протоколами DeFi, обязался пополнить запасы ETH, чтобы восстановить баланс, не допуская паники среди пользователей. Несмотря на подобное обещание, эксперты успели задаться...
- 5 Фев, 10:22
Житель Башкирии потерял более 4 миллионов из-за криптовалюты
47-летний житель района обратился в полицию и рассказал свою историю. Осень прошлого года ему позвонил неизвестный, который представился сотрудником инвестиционной компании. Собеседник предложил начать зарабатывать «по-настоящему большие деньги» — че...
- 3 Фев, 07:00
Сеть Wormhole лишилась криптовалюты на $250 млн в результате взлома
Wormhole — это кроссчейн-протокол, который позволяет переводить средства между различными блокчейнами. Пользователи блокируют актив в одном блокчейне, чтобы получить его отражение в другом. Хакеры получили токены wETH, при этом они не внесли обеспече...