bitconio.net

Blockchain, commodities & Trading

Guide

Kraken Security Labs avverte: difetto riscontrato nel portafoglio hardware Keepkey Crypto


Kraken Security Labs ha trovato un modo per estrarre semi da un portafoglio hardware di criptovaluta KeepKey. Tutto ciò che serve è l’accesso fisico al portafoglio per circa 15 minuti.

Ecco come lo hanno fatto:

* Questo attacco si basa sul glitching di tensione per estrarre il seme crittografato, che può richiedere hardware e conoscenze specializzate. Si stima che un dispositivo glitching adatto al consumatore potrebbe essere creato al prezzo di $ 75.
* Quindi è rotto il tuo seme protetto dal tuo PIN di 1-9 cifre e per brute force.

  • L’attacco sfrutta i difetti intrinseci all’interno del microcontrollore utilizzato nel KeepKey.
  • Questo purtroppo significa che per il team KeepKey è difficile fare qualcosa per questa vulnerabilità senza una riprogettazione dell’hardware.

Fino ad allora, ecco cosa puoi fare per proteggerti:

  • Non consentire l’accesso fisico a KeepKey
    • KeepKey in realtà è già a conoscenza di attacchi simili ma afferma solo che: “Il lavoro di KeepKey è proteggere le chiavi dagli attacchi remoti “.
    • Mentre gli attacchi fisici sono certamente difficili da difendere, riteniamo che questa posizione sia potenzialmente in linea con il marchio del prodotto come “The Next Frontier of Crypto Security”.
    • È importante capire che se perdi fisicamente KeepKey questa vulnerabilità potrebbe essere utilizzata per accedere alla tua crittografia.
  • Abilita la passphrase BIP39 con il client KeepKey
    • Questa passphrase è un po ‘goffa da usare ma non è memorizzata sul dispositivo e quindi non è vulnerabile a questo attacco.

A Kraken Security Labs, si prova a scoprire attacchi contro la comunità crittografica prima che i cattivi lo facciano. Kraken Security Labs ha comunicato in modo responsabile tutti i dettagli di questo attacco a KeepKey , tali info diventeremo pubbliche in modo che la comunità crittografica possa proteggersi.

Per leggere i dettagli tecnici dei risultati del lavoro di Kraken Security Labs, consulta questo link 

Rif. Link https://blog.kraken.com/

 
Resta aggiornato con la Newsletter Settimanale