Một thiết bị chỉ $75 có thể bẻ khóa ví lạnh KeepKey

Kraken Security Lab cho biết ví lạnh KeepKey không bảo vệ người dùng khỏi tấn công vật lý, và có thể dễ dàng bị thâm nhập bằng một thiết bị giá $75.

Tất cả những gì được yêu cầu là truy cập vật lý vào ví trong khoảng 15 phút, công ty đã nói trong một bài đăng trên blog vào thứ ba.

Kraken Security Lab cho biết KeepKey đã biết về các cuộc tấn công vật lý tương tự, nhưng dường như đang tập trung nhiều hơn vào việc bảo vệ khóa người dùng khỏi các cuộc tấn công từ xa, trích dẫn một tuyên bố từ Shapeshift công ty mẹ của KeepKey vào ngày 13 tháng Sáu.

Các cuộc tấn công có thể trích xuất các seed có thể giúp người dùng khôi phục và sao lưu ví của họ từ một thiết bị ổn định điện áp có giá khoảng 75 đô la.

Tuy nhiên, Michael Perklin, giám đốc an ninh thông tin của Shapeshift, cho biết tuyên bố của Kraken Security, là không chính xác. Sàn giao dịch này đã mua lại startup ví lạnh KeepKey với số tiền không được tiết lộ vào tháng 8 năm 2017 để phát triển công nghệ và bảo mật cho chủ sở hữu tiền điện tử của mình.

Không chỉ có cuộc tấn công này đòi hỏi phải có sự chiếm hữu vật lý của thiết bị, nó sẽ đòi hỏi sự chuẩn bị và chuyên môn đáng kể, cũng như các thiết bị chuyên dụng,

Chi phí trên chỉ có thể có nếu người đó có một sự hiểu biết cực kỳ tinh vi về những gì cần thiết, anh ấy nói thêm. Một người bình thường sẽ không có hiểu biết về thiết kế phần cứng hoặc khoa học máy tính để chọn ra các bộ phận với giá 75 đô la và lắp ráp thành công một công cụ để sử dụng cho kiểu tấn công này.

Kraken Security Lab cho biết trong bài đăng trên blog của mình rằng trong khi các cuộc tấn công vật lý rất khó để chống lại, thì nó đã thấy việc Keepkey tập trung vào các cuộc tấn công từ xa có khả năng không phù hợp với việc xây dựng thương hiệu cho sản phẩm của nó.

Perklin trả lời rằng KeepKey đã thực hiện các biện pháp để bảo vệ người dùng khỏi các cuộc tấn công vật lý tiềm năng trước khi Kraken thông báo.

Chúng tôi khuyên người dùng nên sử dụng cụm mật khẩu BIP39 để thêm một lớp bảo mật bổ sung, theo ông Perklin. Quá trình này tương đối dễ dàng và chúng tôi đã cung cấp các hướng dẫn từng bước về cách thiết lập BIP39 trong tuyên bố ngày 13 tháng 6.

Một trong những lý do khiến các cuộc tấn công vật lý như vậy rất khó ngăn chặn là KeepKey phải thiết kế lại phần cứng của nó. Cụ thể, Kraken Security Lab tuyên bố, chiếc ví cần phải thay đổi bộ vi điều khiển vì những lỗ hổng vốn có của Cameron có thể được sử dụng bởi tin tặc.

Điều quan trọng là phải hiểu rằng nếu bạn thực sự mất KeepKey, lỗ hổng này có thể được sử dụng để truy cập vào tiền điện tử của bạn, theo bài đăng trên blog.

Nó giống như một cái khóa cửa. Bạn có thể thay đổi ổ khóa trên cửa của mình bao nhiêu lần tùy ý, nhưng ai đó có đủ thời gian và chuyên môn luôn có thể chọn khóa, thì Peklin trả lời.

Thiết kế lại KeepKey, hoặc sử dụng một bộ vi điều khiển khác, có thể làm chậm kẻ tấn công nếu chúng có thiết bị vật lý, nhưng nó sẽ không ngăn chặn chúng nếu chúng quyết tâm, có kỹ năng và có đủ thời gian để đột nhập, anh nói thêm.

Kraken Security Lab cho biết họ đã tiết lộ đầy đủ chi tiết về mối đe dọa tấn công này đối với KeepKey vào ngày 11 tháng 9 và hiện đang công khai để cộng đồng tiền điện tử có thể tự bảo vệ mình. Shapeshift xác nhận đã nhận được thông tin và đã yêu cầu người dùng sử dụng cụm mật khẩu BIP39 trước thời điểm đó.