0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Насколько реален взлом Биткоина

Содержание

Насколько реален взлом Биткоина?

Небольшой экскурс в мир открытых кодов, смарт-контрактов и… уязвимостей.

Можно ли взломать биткоин? Любое программное обеспечение можно взломать, но в этом нет ничего плохого — взломы лишь усиливают безопасность криптовалют, ведь все, что не убивает нас, делает нас сильнее, так?

Безопасность биткоина: Парень из пузыря и канализационная крыса

На YouTube есть выступление Андреаса Антонопулоса под названием «Безопасность биткоина: Парень из пузыря и канализационная крыса» (Bitcoin Security: Bubble Boy and the Sewer Rat). В этой лекции он представляет централизованные системы как «пузыри», где безопасность обеспечивается за счет изоляции от внешних сил. Пребывание в изоляции не позволяет системе развить защитные механизмы, но рано или поздно пузырь лопается, оставляя ее беззащитной.

Открытые блокчейны же, по его словам, подобны канализационным крысам, живущим в дикой природе и окруженным врагами, — их иммунная система вынужденно развивается. Да, взломы случаются, но это помогает найти решения, защищающие от будущих атак.

В конце выступления Антонопулос говорит:

Открытый код

Как и у многих криптовалютных проектов, код биткоина открыт, то есть, его может прочесть каждый. Если вам интересно, можно ли взломать биткоин, просто скачайте код и посмотрите! Чем больше людей читают и анализируют код, тем скорее находятся и исправляются любые проблемы.

По сути, ошибка и уязвимость в программе — это одно и то же, только в одном случае пользователь случайно нажимает последовательность клавиш и вызывает сбой приложения, а в другом хакер намеренно нажимает те же кнопки, чтобы получить доступ туда, куда не следует. Пользователь обнаруживает ошибку случайно, хакер использует ее для атаки на систему. Да, биткоин — это ПО, в любом ПО есть ошибки, и хакеры этим пользуются.

Раскрытие уязвимости

В апреле 2018 года разработчик, работающий над кодом биткоина в проекте Digital Currency Initiative в MIT Media Lab, обнаружил уязвимость в Bitcoin Cash. Здесь нужно заметить, что сообщества биткоина и отделившегося от него Bitcoin Cash друг друга на дух не переносят.

Статья в тему:  Как сбросить аккаунт mi band 2

Найденная уязвимость была очень серьезной и могла бы похоронить Bitcoin Cash, но программист повел себя достойно и сообщил разработчикам о проблеме. В итоге никто не успел воспользоваться ошибкой для взлома, она была исправлена, и 7 мая 2018 года было опубликовано соответствующее обновление.

Смарт-контракты (умные и не очень)

Если говорить о безопасности, то реализация смарт-контрактов — это очень сложная задача. Смарт-контракты — это фрагменты исполняемого кода для управления транзакциями, и они записаны в блокчейне, а значит, вечны. И, поскольку они вечны, любые ошибки и уязвимости, допущенные в таком контракте при создании, тоже вечны.

Таким образом, плохо спроектированный или реализованный код смарт-контракта может привести к огромным финансовым потерям, как это случилось в печально известной истории с DAO — в результате плохо написанного смарт-контракта.

Хакеры любят сложный код, потому что в нем больше ошибок. И наоборот, безопасность — это простота. Биткоин-сообщество разработало язык Bitcoin Script, специально упростив и ограничив его — во имя безопасности.

Альтернативный проект, Ethereum, стремится обеспечить платформу для программирования децентрализованных приложений, поэтому язык Solidity, который там используется, тьюринг-полный, то есть способен реализовать всю сложность компьютерных вычислений.

Игры Capture The Flag (CTF) заключаются в поиске уязвимостей, и у компании Security Innovation есть бесплатная игра такого рода для смарт-контрактов — Blockchain CTF. Программирование смарт-контрактов на Solidity под платформу Ethereum требует хорошей практики в области безопасности. Можно ли взломать Ethereum? Да, как и биткоин.

27 июля 2018 года ICO проекта KICKICO на платформе Ethereum было взломано и потеряло 7,7 млн долларов: хакеры получили секретный ключ проекта и взломали смарт-контракт. Справедливости ради, здесь дело было не в уязвимости в смарт-контракте, а в неправильной защите ключа.

Немного о кошельках

Хранением личных ключей занимается кошелек, и именно он отвечает за их неприкосновенность. Если вы пользуетесь онлайн-кошельком, ваши личные данные живут на чужом сервере со всеми его уязвимостями. С другой стороны, если держать кошелек у себя на жестком диске, то можно утратить средства, когда диск сломается. Безопаснее всего — офлайновые аппаратные кошельки.

Онлайн-кошельки — зло

Хранение криптовалюты в онлайн-кошельке — это, практически, приглашение ко взлому. Происходить это может так: сначала хакер узнает адрес электронной почты и телефон жертвы, — это обычно общедоступная информация, — а потом запрашивает сброс пароля для учетной записи и использует уязвимость в протоколе телефонии Signal System 7 (SS7), который используют в своих сетях, к примеру, крупнейшие американские сотовые операторы AT&T и Verizon. Так хакер перехватывает токен авторизации. Теперь у него есть доступ к кодам двухфакторной авторизации, отправляемым на телефон жертвы, и с их помощью они заходят в сервис кошелька, после чего делают с криптовалютой все, что хотят.

Статья в тему:  Как отвязать аккаунт activision call of duty mobile

Уязвимость в Monero

Любопытно, что иногда уязвимости оборачиваются против самих хакеров. Исследователи из ряда университетов, включая Принстон, Карнеги-Меллон, Бостонский университет и Массачусетский технологический институт обнаружили проблему конфиденциальности в Monero. Как известно, эта криптовалюта призвана обеспечивать анонимность действий пользователей, а уязвимость позволяла получить сведения о транзакции и определить, кто ее совершает.

И, поскольку данные в блокчейне хранятся вечно, эта ошибка позволяет заглянуть в прошлое на любую глубину. Представьте себе, что у вас украли деньги, воспользовавшись уязвимостью, и хакер рассчитывал остаться анонимным, но из-за ошибки в программе его стало можно выследить — какая ирония!

Так можно ли взломать биткоин?

Ошибки бывают разные, серьезные и не очень, но зачастую для взлома совершенно не нужно ничего делать с программой.

В декабре 2017 года проект NiceHash приостановил работу из-за взлома, в ходе которого было украдено 64 млн долларов. В компании утверждали, что атака была «высокопрофессиональной» и опиралась на «сложную социальную инженерию».

Но социальная инженерия — это просто жульничество. Хакеры обманом заставляют людей отдать им пароли, предоставить доступ к тому или иному аккаунту или сообщить им какую-то секретную информацию.

Можно ли взломать биткоин? Конечно, это случалось много раз. Но каждый такой взлом изучается — и только укрепляет защиту системы.

Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.
Обсудить актуальные новости и события на Форуме

Блокчейн можно взломать?

Это отличный вопрос, который состоит из множества частей. Вот почему мы разбили его на категории, чтобы лучше объяснить уязвимости безопасности в основе этой новой технологии.

Протокол

Консенсусный протокол — это, по сути, набор правил, который сообщает криптовалюте, как работать. Поскольку разные сети имеют разные протоколы, уязвимости могут различаться, и некоторые взломы не применимы ко всем криптовалютам.

Тем не менее, ниже приведены четыре наиболее широко обсуждаемых варианта.

Атака Сивиллы

Атака Сивиллы (Sybil) происходит, когда большое количество узлов контролируется одной стороной и использует эту мощность для заполнения сети плохими или мошенническими транзакциями.

К счастью, большинство криптовалют предназначено для предотвращения такого взлома. У Биткоина его алгоритм Proof-of-Work сделал бы такую ​​атаку невероятно дорогой для одного хакера. До сих пор никому не удалось успешно провести атаку Сивиллы на крупную криптовалюту.

Статья в тему:  Как взломать аккаунт в вк 2018

Термин «Атака Сивиллы» назван в честь известной книги по психологии, опубликованной в 1973 году с таким же названием. Название относится к псевдониму, который дан женщине со сложным расстройством личности.

Маршрутизация Атаки

Для работы с криптовалютой необходимо использовать интернет, а интернет-провайдеры (ISP) являются посредниками, через которые проходит большая часть мирового онлайн-трафика.

При атаке с использованием маршрутизатора хакер перехватывает данные при их отправке провайдеру. После того, как они вошли, хакер может разделить сеть на разделы.

Согласно исследованию, проведенному ETHZurich, всего 13 провайдеров размещают 30% Биткойн-сетей, а 3 провайдера маршрутизируют 60% всего трафика через сеть.

Создавая раздел, сеть блокчейна предполагает, что другие узлы вышли из системы и продолжают работать. Тем не менее, хакер может создать большое количество мошеннических транзакций на одной стороне раздела, так что, когда раздел выйдет из строя, более короткая цепочка (та, что с правдивыми транзакциями) будет отклонена сетью, эффективно узаконившейся поддельной.

Эти атаки распространены в Интернете, но до сих пор не было никаких известных атак такого рода на блокчейн.

Прямой отказ в обслуживании

Чаще всего встречается в интернете прямые отказы в обслуживании или DDoS-атаки наводняют сервера или узел огромными объемами трафика, не позволяя реальным запросам получать информацию, что приводит к сбою службы.

В криптовалюте субъект может попытаться отключить узел, создав тысячи поддельных транзакций. Тем не менее, сеть Биткойн довольно хорошо защищена, когда дело доходит до DDoS-атак.

Чтобы хакер мог создать достаточно транзакций, он должен будет заплатить за каждую из них плату за майнинг, что делает ее невероятно дорогой. Поскольку Биткойн был первым блокчейном, многие другие сети приняли аналогичные протоколы безопасности, что делает эту атаку труднее.

Атаки 51%

Атака 51% происходит, когда майнер контролирует 51% всей мощности хеширования в сети. Это означает, что злоумышленник сможет проводить атаки с двойными тратами, а это означает, что пользователь может дважды отправить криптовалюту без ведома сети.

Однако такого рода атаки более вероятны в небольших сетях, где стоимость захвата более доступна, чем в более крупных сетях, таких как Биткойн.

  • В августе 2016 года блокчейны Krypton и Shift подверглись атаке 51%
  • В апреле 2018 года криптовалюта Verge подверглась нескольким атакам 51%
  • Так же атаке подвергались такие криптовалюты, как: Monacoin, Bitcoin Gold, Horizen и другие

Подробнее читайте об этом в нашей статье.

Биржи

Биржи — это места, где пользователи покупают и продают свои криптоактивы. В настоящее время крупнейшие в мире биржи централизованы.

Это делает их особенно уязвимыми для атак, поскольку хакер должен обойти только несколько уровней безопасности, чтобы получить доступ ко всей базе данных, где хранится криптовалюта пользователей.

Статья в тему:  Как сменить аккаунт на авито

На нашем YouTube канале было несколько обзоров про взломы бирж. Подписывайтесь, что бы быть в курсе всех новостей и событий из мира криптовалют и майнинга!

Большинство крипто-краж происходит на биржах. В 2017 году, по данным криптозащитной компании CipherTrace, с бирж было украдено 266 миллионов долларов в криптовалюте. В первой половине 2018 года — это число превысило 700 миллионов долларов в криптовалюте.

Децентрализованные биржи предлагают более безопасный вариант хранения в отличии от централизованных, но еще не достигли того же уровня принятия, что и их централизованные коллеги, так как менее удобны и понятны.

Кошельки

Кошельки, которые владельцы криптовалют используют для хранения криптовалют, могут быть подвержены атакам. Тем не менее, большинство потерь происходит из-за человеческой ошибки, нежели из-за хакеров.

Однако мы категорически Вам не советуем хранить на одной системе (на 1 компьютере) надёжные кошельки, типа: Bitcoin, Ethereum, Litecoin и так далее с кошельками от малоизвестных монет!

Почему? Все просто, бывали случаи, когда криптовалюта создавалась с целью обокрасть пользователей. Люди скачивали эти кошельки на ПК на котором хранятся другие кошельки и этот кошелек от малоизвестной монеты воровал приватные ключи других кошельков!

Узнайте все про кошельки (аппаратные, холодные, веб и другие), как их устанавливать, настраивать, обрезать и так далее.

Появление сильного конкурента

Bitcoin является наиболее популярной валютой, поскольку проверен временем. Однако его позиции могут быть ухудшиться, в случае появление более привлекательной монеты. В данном случае подразумевается актив, который будет предоставлять майнерам, и рядовым пользователям лучшие условия, при полном сохранении всех остальных характеристик монеты.

«Убийцей Bitcoin» может стать криптовалюта, способная преодолеть силу наиболее раскрученного на рынке бренда. По сей день этого так и не произошло, хотя число различных альткоинов уже перевалила за 1500. В настоящий момент Bitcoin является наиболее сильной цифровой монетой на рынке, и пока у него не появилось достойных конкурентов, способных его «убить».

Среди опасных для криптовалюты экономических факторов следует отдельно выделить стоимость электроэнергии. Если она существенно возрастет, стабильно работать будут только крупные пулы майнинга, расположенные в странах с дешевыми ценами не электричество.

При таком сценарии разработчикам Bitcoin придется искать новый способ защиты в виде снижения энергозатрат, необходимых для сохранения целостности и безопасности сети. Вероятность подобного развития событий эксперты оценивают от низкой до средней.

Взлом Bitcoin-кошелька: практика

Итак, первым делом нам необходимо подобрать сам приватный ключ. Для этого мы будем использовать простейший калькулятор SHA-256. Как же это работает? Берем возьмем самую простую комбинацию, которая теоретически может использоваться в качестве пароля: 12345678. Через калькулятор генерируем для нее хеш. Он будет иметь следующий вид:

Статья в тему:  Что такое премиум аккаунт в cs go

Собственно, это и есть наш приватный ключ, который мы будем использовать в дальнейшем.

Далее, переходим на сайт для создания Bitcoin-адресов bitaddress.org. На нем нам необходимо двигать мышкой до тех пор, пока не будет сгенерирован новый адрес. После этого нужно перейти на вкладку Wallet Details. Там будет строка Enter Private Key. Вставляем в нее полученный хеш и нажимаем кнопку View Details. Внизу появятся два адреса: один сжатый, а второй полный.

Взлом Bitcoin-кошелька практически завершен – теперь остается только проверить действителен ли он и есть ли, чем на нем поживиться. Заходим на эксплорер Bitcoin blockchain.info и вставляем адрес в поисковую строку. В нашем случае нам удалось найти активный адрес, но все средства на нем уже выведены.

Собственно, на этом взлом Bitcoin-кошелька завершен. Таким образом, подбирая самые популярные пароли, можно получить доступ к кошельку, который теоретически может иметь положительный баланс.

Похищение администраторов

В теории возможно и такое, что все администраторы будут похищены, информация об этом не распространится достаточно быстро в сообществе и значительная часть нод биткоина перейдет на уязвимый код. Опасения по поводу того, что власти могут попытаться вывести биткоин из строя, периодически возникают среди пользователей.

Предположим, что все администраторы были арестованы, а злоумышленники сразу же начали распространять вредоносное обновление Bitcoin Core. Керин считает, что такой подход тоже не возымеет успеха:

«Сообщество проведет форк репозитория, воспользовавшись последней полноценной версией, и будет отталкиваться от нее».

Он также считает, что провести подобную операцию без предания огласки произошедшему, например семьями администраторов, будет невозможно.

«Подвергшиеся манипуляциям ноды и функциональные ноды, вероятно, не смогут достичь консенсуса касаемо состояния блокчейна, что приведет к возникновению форка», – сказал Штреле.

Обновления не распространяются автоматически по сети биткоина; каждый оператор ноды сам решает, устанавливать их или нет. Таким образом пользователи могут не поддерживать даже полноправные изменения, если они не согласны с их содержимым.

Ошибка в коде системы, приводящая к уязвимости

Биткоин — постоянно развивающаяся система и код её основного программного клиента Bitcoin Core неоднократно менялся и совершенствовался. Несмотря на то, что работу над этим кодом ведут независимые профессиональные программисты из разных уголков планеты, а окончательное решение по внесению изменений в код принимается после их всестороннего обсуждения, тем не менее существует потенциальная опасность возникновения непреднамеренных ошибок (багов) и уязвимостей. Этот риск мизерный, но он есть и его надо принимать во внимание. Тем более, что такое уже случалось в истории Биткоина.

Статья в тему:  Что значит минусовой аккаунт

15 августа 2010 года баг в программном коде стал причиной «грязной» транзакции в блоке №74638 — более 184 млрд BTC ( точное значение — 184 467 440 737,09551616) были переданы в одном переводе. На два адреса было отправлено по 92,2 млрд BTC на каждый и еще на один — дополнительно 0,01 BTC, которых не существовало до транзакции. Это было возможно, потому что код, используемый для проверки транзакций, прежде чем включать их в блок, не учитывал настолько больших выходов, что они переполнялись при суммировании.

Спустя час ошибка была обнаружена, код был исправлен в течение нескольких часов и в результате преднамеренного форка «чистый» блок №74691 стал заменой для «грязного» в цепочке.

Это была единственная найденная и использованная существенная уязвимость за всю историю Биткоина.

Следует отметить, что подобного рода ошибки в блоках транзакций можно исправить только при помощи форка — создании более длинной цепи валидных блоков. При этом, разумеется, будут потеряны транзакции, попавшие в фейковую цепочку, но сохранены биткоины, бывшие на счетах клиентов до возникновения форка.

Что такое криптокошелек?

Сначала разберемся, что представляет собой обычный криптокошелек. Грубо говоря, это счет для хранения криптовалюты. Он состоит из пары криптографических ключей — открытого и закрытого. Очень грубо это похоже на связку логина и пароля: открытый ключ выступает в качестве адреса кошелька, а закрытый нужен для доступа к койнам, то есть для подписи исходящих транзакций.

Теперь давайте разберемся, как в криптосистемах генерируются пары ключей, когда одному человеку принадлежит множество кошельков. Согласитесь, хранить несколько сгенерированных пар ключей по отдельности не очень удобно. Поэтому на самом деле системы криптовалют генерируют одно большое число — криптографическое зерно (seed), на основе которого неким предсказуемым образом можно получить нужное число пар открытых и закрытых ключей для нескольких кошельков.

Именно это число — криптографическое зерно — в действительности хранит у себя пользователь системы криптовалюты.

В отличие от традиционных финансовых систем, криптовалюты обычно не подконтрольны никаким централизованным органам, в них нет механизмов регистрации, возврата платежей и восстановления доступа к счету. Тот, у кого есть криптографическое зерно и производные ключи, и является владельцем криптокошельков, с которыми связаны эти ключи. Если зерно будет потеряно или украдено, жаловаться владельцу будет некуда, и ему придется распрощаться с койнами в своих кошельках.

Кстати, хотя формально кошельком считается связка открытого и закрытого ключей, в большинстве случаев любые средства хранения этих ключей также называются кошельками. Таким образом, аппаратный кошелек — это устройство, хранящее криптокошельки.

Зачем вообще нужны аппаратные криптокошельки?

Учитывая важность криптографического зерна, стоит позаботиться о том, чтобы оно было как можно лучше защищено. Есть множество способов хранения зерен, у каждого из которых свои преимущества и недостатки. Удобнее всего хранить зерна на компьютере или смартфоне, а еще удобнее — на специализированном сайте в Интернете. Однако у таких способов хранения есть масса проблем. Вредоносные программы, ворующие криптокошельки, — совсем не редкость. А веб-кошельки могут не только стать жертвой взлома, но и обанкротиться, утащив за собой на дно тонны койнов.

Статья в тему:  Как удалить аккаунт gmail если забыл пароль

Прибавьте к этому массу других напастей, включая фишинг, подмену платежных реквизитов, утрату кошельков из-за аппаратных сбоев и многое другое. Для решения всех этих проблем и были придуманы аппаратные криптокошельки — отдельные устройства, на которых криптографические зерна хранятся надежно и безопасно.

Как работают аппаратные криптокошельки?

Основной принцип работы аппаратного криптокошелька заключается в том, что криптографическое зерно никогда не должно покидать устройство. Все криптографические операции производятся прямо внутри устройства, а не на компьютере, к которому он подключен, — наружу отправляются уже подписанные транзакции. Таким образом, даже если ваш компьютер будет скомпрометирован, злоумышленники не доберутся до ваших ключей.

Также не помешают дополнительные меры проверки доступа, например возможность запереть устройство PIN-кодом. И конечно, очень удобно, если можно проверить транзакцию прямо на устройстве, а затем подтвердить ее или отклонить.

Все эти требования привели разработчиков к оптимальному дизайну: обычно аппаратный криптокошелек выглядит как небольшой USB-брелок с дисплеем и несколькими кнопками для ввода PIN-кода и подтверждения транзакций.

Однако внутри они устроены по-разному. Два ведущих производителя аппаратных кошельков — Trezor и Ledger — используют два разных подхода к проектированию «железной» части брелоков.

Подход Ledger: хранение криптографического зерна в чипе Secure Element

Устройства Ledger, а именно модели Ledger Nano S и Ledger Blue, оснащены двумя главными чипами. Один из них — Secure Element, специальный микроконтроллер для хранения конфиденциальных криптографических данных. Такие чипы применяются в SIM-картах, банковских картах и смартфонах с поддержкой Samsung Pay и Apple Pay.

Второй чип представляет собой микроконтроллер общего назначения, решающий периферийные задачи: управление USB-подключением, дисплеем, кнопками и так далее. Он выступает в роли посредника между чипом Secure Element и внешним миром, в том числе самим пользователем. Например, каждое подтверждение транзакции пользователем проходит через микроконтроллер общего назначения, а не через чип Secure Element.

Но даже хранение криптографических зерен в защищенном чипе не сделало устройство Ledger полностью неуязвимым. Взломать чип Secure Element и украсть криптографическое зерно крайне сложно, но микроконтроллер общего назначения — другое дело. Если его скомпрометировать, можно сделать так, что кошелек будет подтверждать транзакции злоумышленников.

Статья в тему:  Как создать аккаунт на арена торнамент

Исследователи изучили прошивку Ledger Nano S и выяснили, что кошелек можно перепрошить скомпрометированной версией, записав определенное значение в нужный адрес памяти. Разработчики Ledger защитили этот адрес от записи. Однако оказалось, что микроконтроллер допускает изменение адресации памяти — то есть заветной ячейке памяти можно назначить другой адрес, который в список заблокированных не входит. Исследователи воспользовались этой аппаратной особенностью и загрузили в Nano S модифицированную прошивку. В демонстрационных целях эта модификация содержала игру «Змейка» — но вместо нее мог бы быть, например, вредоносный модуль, подменяющий адрес кошелька во всех исходящих транзакциях.

Другой способ компрометации аппаратного кошелька основан на аппаратных имплантах. Джош Датко смог подключить к Ledger Nano S недорогой имплант, который нажимает кнопку подтверждения при получении вредоносной команды по радио. Судя по всему, таким способом можно скомпрометировать любой аппаратный кошелек — исследователь выбрал в качестве жертвы своего эксперимента Ledger Nano S просто потому, что это самый компактный из криптокошельков, поэтому встроить имплант в него было сложнее всего.

Другое устройство того же производителя, Ledger Blue, оказалось уязвимым к атакам по сторонним каналам. Ledger Blue — это аппаратный кошелек с большим тачскрином и емкой батареей. Выяснилось, что из-за неудачного дизайна печатной платы она излучает вполне различимые радиосигналы, когда пользователь вводит PIN-код. Исследователи записали эти сигналы и натравили на них алгоритм машинного обучения, который научился распознавать их с точностью 90%.

Подход Trezor: хранение криптографического зерна во флеш-памяти микроконтроллера общего назначения

Кошельки Trezor устроены немного иначе. В них нет чипов Secure Element, и всеми процессами в устройстве управляет один-единственный чип — микроконтроллер общего назначения на базе архитектуры ARM. Этот чип отвечает как за хранение и обработку криптографических данных, так и за управление USB-подключением, дисплеем, кнопками и всем остальным.

Теоретически такая конструкция должна упростить взлом прошивки устройства для доступа к криптографическому зерну, спрятанному во флеш-памяти микроконтроллера. Но, как убедились эксперты, инженеры Trezor хорошо поработали над безопасностью прошивки, поэтому им пришлось направить свои усилия на взлом аппаратной части — и они в этом преуспели.

Исследователи использовали методику под названием voltage glitching — она заключается в том, что на микроконтроллер подается пониженное напряжение, чтобы спровоцировать сбои в его работе. С помощью этого метода они переключили состояние чипа Trezor One с «доступ отсутствует» на «частичный доступ». После этого они смогли считывать оперативную память чипа, но содержимое флеш-накопителя оставалось недоступным для чтения.

Однако исследователи выяснили, что после начала обновления прошивки чип помещает криптографическое зерно в оперативную память, чтобы оно сохранилось во время перезаписи флеш-памяти. Все, что им оставалось, это начать процесс обновления прошивки и извлечь содержимое всей памяти. После этого найти криптографическое зерно оказалось несложно — оно хранилось в оперативной памяти в виде незашифрованной мнемонической фразы (то есть набора обычных слов вместо случайного числа), которую легко обнаружить.

Статья в тему:  Как доказать что аккаунт мой wot

Дамп памяти содержит криптографическое зерно в виде мнемонической фразы, а также PIN-код (в данном случае 1234), записанные открытым текстом

Заключение

Нужно понимать, что большинство описанных методик взлома, которые нашли Томас Рот, Джош Датко и Дмитрий Недоспасов, сложны и подразумевают физический доступ к устройству. Так что не спешите выбрасывать свой кошелек Ledger или Trezor. Если злоумышленникам не удастся наложить на него руки, ваши биткойны никак не пострадают (разве что обесценятся).

С другой стороны, стоить помнить о существовании атак через цепочку поставок. Аппаратные кошельки сравнительно несложно модифицировать и скомпрометировать партию перед продажей. Разумеется, это можно сделать и с обычными ноутбуками или смартфонами. Но в этом случае киберпреступники не могут гарантировать, что будущий хозяин ноутбука станет хранить на нем криптовалюту. А вот насчет аппаратного кошелька можно быть уверенным — рано или поздно он будет использован для хранения криптовалюты.

Производители аппаратных кошельков ищут пути решения этой проблемы — например, наносят защитные стикеры на упаковку устройств и создают страницы на своих сайтах, где пользователи могут проверить безопасность своих кошельков. Но подобные меры не очень-то работают и могут сбивать владельцев кошельков с толку.

Впрочем, в отличие от некоторых других аппаратных кошельков, устройства Ledger и Trezor действительно проектируются с акцентом на безопасности. Просто не заблуждайтесь, думая, что их никак нельзя взломать. Лучше предпринять дополнительные меры по защите своего криптосостояния:

  • Покупайте аппаратные криптокошельки только у зарекомендовавших себя поставщиков.
  • При покупке внимательно проверьте упаковку и устройство на наличие следов вмешательства.
  • Для полной уверенности стоит вскрыть устройство и убедиться в том, что на плате нет никаких посторонних элементов.
  • Храните свой криптокошелек в надежном месте и проследите, чтобы он не оказался в руках людей, которым вы не доверяете.
  • Используйте на своем компьютере для работы с криптовалютой надежное защитное решение — многие описанные методы взлома полагаются на установку вредоносных программ именно на компьютер, к которому подключен аппаратный кошелек.

Дополнительные рекомендации в отношении кошельков Trezor:

  • Trezor является открытой платформой — как программной, так и аппаратной. Если умеете держать в руках паяльник, можете создать собственный аппаратный кошелек на основе продающихся в магазине компонентов. Так вы будете полностью уверены, что никто не модифицировал аппаратную часть вашего кошелька.
  • Устройства Trezor предлагают дополнительную защиту на основе парольной фразы, исключающей извлечение криптозерна (в этом режиме защиты хранящееся зерно не будет полным без парольной фразы). Подумайте о том, чтобы использовать этот режим.
Статья в тему:  Как создать игровой аккаунт в сталкер онлайн

Полную версию выступления исследователей вы можете посмотреть по приведенной ниже ссылке. Это весьма интересное и познавательное видео для владельцев аппаратных кошельков.

Белая Получаем доступ к чужому крипто-кошельку blockchain.com и Atomic Wallet

Monetka787

Monetka787

Monetka787

  • 10.11.2020
  • #1
  • 1. Для начала нужно сгенерировать Mnemonic code ( Мнемоническая фраза восстановления — это список слов, в которых хранится вся информация, необходимая для восстановления биткойн-кошелька. Для этого нужно перейти на этот сайт — ТЫК , выбираем количество слов 12 и нажимаем на GENERATE:

    2. Копируем полученную фразу и переходим по этой ссылке — https://login.blockchain.com/#/recover

    3. Вставляем фразу в строку и нажимаем «CONTINUE»:

    4. Вводим новые данные для кошелька и кликаем на «RECOVER FUNDS»:

    5. Если всё сделали правильно, то должно появиться такое сообщение —

    Через несколько секунд нас перекинет уже на сам аккаунт:

    Сразу скажу что шанс получить аккаунт с балансом примерно 1% , поэтому чтобы увеличить шансы получения аккунтов с балансом, можно использовать софт, который будет делать всё автоматически и сохранять данные
    от аккаунтов в txt формате —

    1. Первый софт
    2. Второй софт
    3. Если нет VPN, так как на сайт для скачивания он требуется.То можно с Яндекс скачать тут,я перезалил.(Скорость низкая у сайта,у Яндекс хорошая.)Это второй софт. https://yadi.sk/d/M6Z2Qtz9pd3FCQ Проверка второго софта на вирусы VirusTotal

    Результат с софтом:

    Скрин работы второго софта.Много вкладок не открываю,4-5 хватает.Зависит от мощности компа и интернета.
    Первый софт не тестил.
    Так же можно поставить на дедик и забыть,проверять изредко.

    ВЗЛОМ Atomic Wallet
    1. Также генерируем Mnemonic code и копируем его

    2. Переходим в кошелёк (ПК или мобильное приложение Atomic Wallet) и кликаем на «RESTORE FROM BACKUP»:

    3. В строку вставляем Mnemonic и нажимаем на «RESTORE»:

    4. Придумываем новый пароль от кошелька и получаем доступ к аккаунту:

    В мобильном приложении всё делается также —

    Для повторного входа в кошелёк нужен тот же Mnemonic, который использовали для взлома и пароль который вы изменили. Софт для автоматического взлома Atomic Wallet не был найден

    Следите за безопасностью

    В своих статьях и видео на YouTube канале мы не однократно писали и говорили о том, что хранить на биржах очень опасно!

    Поэтому мы советуем Вам подумать о будущем и обезопасить себя. Это можно сделать 2 способами:

    1. Купить надежный аппаратный кошелек Ledger Nano S или Ledger Nano X
    2. Установить под все имеющиеся у Вас криптовалюты.

    Эта инструкция будет обновляться и дополняться. Дополняйте и Вы ее своими комментариями!

    Ссылка на основную публикацию
    Статьи c упоминанием слов:
    Adblock
    detector