BitNovosti.com - Биткойн, Блокчейн, Криптовалюты, Цифровая экономика, Аналитика, Прогнозирование курса, DeFi.
9.65K subscribers
10.4K photos
2 files
9.59K links
BitNovosti.io Telegram Channel
Download Telegram
Как потерять $30 000 в биткойнах: эпический рассказ о том, как я забыл свой PIN — Часть 2

Сегодня мы продолжаем рассказ истории о том, как бывший редактор журнала WIRED и сооснователь сайта BoingBoing, Марк Фрауэнфельдер, чуть было не потерял свои 7,4 BTC из-за нелепого стечения обстоятельств. Не забудьте ознакомиться с первой частью истории, если ещё не читали.

Письмо: 16 августа 2017 г.: 7,4 BTC = $32 390

Осознание того, что я забыл ПИН-код, стало чем-то вроде звона в ушах – тем, что всегда на заднем плане, что трудно игнорировать и что раздражает. Что не так с моим разумом? Смог бы я вспомнить ПИН, если бы мне было лишь чуть больше 20 или 30? Я жалел себя, но однажды увидел в своём электронном ящике письмо от Satoshi Labs, производителя Trezor.

В теме письма говорилось: «Обновление безопасности прошивки TREZOR 1.5.2».

В письме было написано, что обновление должно исправить «проблему безопасности, поражающую все устройства с прошивкой версии ниже 1.5.2». Далее говорилось:

Для того чтобы воспользоваться этой уязвимостью, злоумышленнику понадобится взломать устройство, в процессе разрушив его корпус. Ему также понадобится прошить устройство специально разработанным ПО. Если ваше устройство не повреждено, то ваш пароль в безопасности, и вам следует как можно раньше обновить прошивку до версии 1.5.2. С прошивкой версии 1.5.2 данный вектор атаки исключён и ваше устройство в безопасности.

Может ли в пуленепробиваемой безопасности Trezor быть уязвимость, которой я мог бы воспользоваться? Я зашёл в ветку r/TREZOR, чтобы посмотреть, что об этом говорят. Первым, что я нашёл, была ссылка на пост на Medium от кого-то, кто утверждал, что знает, как взломать Trezor с помощью уязвимости, упоминаемой в письме. Пост был озаглавлен «Trezor – сбои в безопасности раскрывают ваши приватные ключи!»

Автор прикрепил фотографии разобранного Trezor и скриншот содержимого файла с 24 ключевыми словами и ПИН-кодом. Автор также дал ссылку на самодельную прошивку для Trezor, но без каких-либо инструкций по её применению. Я перечитал статью несколько раз, прежде чем посмотрел на имя автора: Doshay Zero404Cool. Это был тот самый человек, с которым я переписывался на Reddit пять месяцев назад! Я зашёл в личные сообщения, чтобы почитать свою старую переписку с zero404cool, и обнаружил новое сообщение от него или неё, отправленное через несколько месяцев после нашего последнего контакта:

Привет. Вы нашли свой ПИН-под? Если нет – у вас там заблокирована очень небольшая сумма. Вряд ли это стоит работы по восстановлению. Даже при сегодняшних ценах, возможно, меня устроит разве что 50% от восстановленной суммы…

Я подумал о том, чтобы принять предложение zero404cool о помощи, но решил сначала связаться с экспертом по Биткойну, которого я знаю не один год, – Андреасом Антонопулосом, автором книги «Интернет денег». Я несколько раз брал у Андреаса интервью для Boing Boing и Института будущего, и в биткойновом мире он считается авторитетным консультантом по безопасности...

Читайте далее на Вitnovosti https://bitnovosti.com/2017/12/04/poteryat-30-000-v-bitkojnah-epicheskij-rasskaz-o-tom-kak-ya-zabyl-svoj-pin/

#биткойн #биткоин #bitcoin #криптовалюта #блокчейн #hardware_wallet #trezor #аппаратные_кошельки #взломTrezor
Уязвимости аппаратных кошельков

Большую часть прошлого года я работал в ConsenSys над энергетическими проектами, кульминацией чего стало ответвление, стремящееся стать первой в мире энергосистемой на основе блокчейна, под названием Grid+. В числе наших приоритетов – создание новой системной архитектуры, которая позволит неискушённым пользователям безопасно хранить и использовать криптовалюты. Благодаря моей работе у меня также была возможность взаимодействовать с рядом людей и крупных организаций, вступающих в криптопространство, которые неизбежно приходят к одному и тому же вопросу: Как хранить криптовалюту? Какой способ обращения с криптовалютой самый безопасный и удобный? Лучший ответ на данный момент – наверное, аппаратный кошелёк. Самые популярные кошельки на рынке сейчас – Trezor и Ledger Nano S. Есть и другие кошельки, такие как KeepKey, но это, по сути, модификации Trezor. Я разобрал кошельки Ledger Nano S и Trezor и хочу поделиться результатами, а также важными выводами насчёт безопасности.

Сюда входит моё мнение о том, где я вижу большие поверхности атаки, но я не обязательно знаю или подразумеваю какой-то конкретный способ взлома. Кроме того, я не рассматривал устройства без собственного дисплея из-за существенно повышенной уязвимости к атакам.

Железо

Trezor

Trezor – относительно простое устройство, подключающееся через разъём Micro-USB. У него очень простой корпус из формованного пластика с двумя пластиковыми кнопками и LCD-дисплеем. Что интересно, пластиковый корпус склеен чем-то вроде цианоакрилата или суперклея...

Читайте далее на Вitnovosti https://bitnovosti.com/2017/12/07/uyazvimosti-apparatnyh-koshelkov/

#биткойн #биткоин #bitcoin #криптовалюта #блокчейн #hardware_wallet #аппаратные_кошельки #кошельки #защита #уязвимости