Как заявил в статье на Medium разработчик компании ShiftCrypto, создающей аппаратный кошелек BitBox02, аппаратные кошельки Trezor One до v1.9.3 и Trezor Model T до v2.3.3, а также KeepKey, уязвимы для удаленной атаки с требованием выкупа при вводе парольной фразы на компьютере/телефоне.
Как утверждает разработчик, ShiftCrypto оповестила о проблеме производителя Trezor SatoshiLabs 15 апреля 2020 года, а создателей Keepkey ShapeShift - 7 мая 2020 года. При этом SatoshiLabs выплатила вознаграждение за обнаружение уязвимости и 2 сентября выпустила обновления, устраняющие проблему. Однако команда KeepKey до сих пор не исправила уязвимость и, по словам разработчика, заявляет, что работает над более приоритетными задачами.
Исследователь пишет, что парольные фразы - уровень безопасности, который может создавать «скрытые» кошельки, имеющиеся в KeepKey и Trezor, необходимо вводить только в соответствующий кошелек хоста (host wallet), например, Electrum, а не в аппаратный кошелек, хотя Trezor также дает возможность ввести его на устройстве.
Это создает уязвимость, при которой вредоносный кошелек или атака посредника могут фактически заблокировать доступ пользователя к его криптоактивам путем изменения парольной фразы кошелька хоста.
«Парольная фраза, которую использует Trezor/KeepKey, может быть не той, которую вы ввели, и контролироваться злоумышленником», - отмечает разработчик. «Поскольку и кодовая фраза, и устройство необходимы для исходящих транзакций, пользователь оказывается отрезанным от своих средств, пока злоумышленник не раскроет парольную фразу».
Такая лазейка создает возможности для атаки с целью выкупа, при которой хакер требует от жертвы определенную сумму в криптоактивах за восстановление доступа к кошельку. Разработчик утверждает, что ему удалось успешно провести атаку через Electrum в тестовой сети Биткоина. Однако нет никаких доказательств того, что уязвимость уже была кем-то реально использована. Удаленная атака затрагивает только владельцев кошельков, использующих дополнительную функцию парольной фразы и вводящих ее через кошелек на компьютере.
Уязвимости в аппаратных кошельках обнаруживаются достаточно часто. Например, в июле прошлого года стало известно, что аппаратные кошельки Trezor оказались уязвимы для физического взлома, а в декабре Kraken Security Labs обнаружила уязвимость в криптовалютном кошельке KeepKey.