Wenn es um Datenschutz und Sicherheit geht, haben viele in der Kryptowelt Hardware-Wallets lange als überlegene Option für die Aufbewahrung von Bitcoin und anderen digitalen Assets angepriesen. Für Befürworter liegen die Vorteile solcher Brieftaschen – kleine USB-ähnliche Geräte, die an Laptops oder Mobiltelefone angeschlossen werden – in der Tatsache, dass es sich um physische Geräte handelt, die offline und sicher vor Hackern aufbewahrt werden können, außer wenn ein Besitzer eine machen möchte Transaktion.
Aber nicht alle sind davon überzeugt, dass sie immer eine gute Idee sind, einschließlich eines Teams von White-Hat-Hackern bei einem Cybersicherheits-Startup namens Unciphered. Das Team hat gerade ein Video veröffentlicht, das zeigt, wie sie in ein Gerät einbrechen, das von OneKey hergestellt wird, einem in Hongkong ansässigen Unternehmen, das 20 Millionen Dollar an Risikokapital aufgebracht hat und das sein Produkt als „Open-Source-Brieftasche, der Millionen vertrauen“ beschreibt.
Unciphered hat eine Vorschauversion des Videos mit geteilt Reichtum, und erklärte, dass der Exploit die Verwendung eines „Man-in-the-Middle“-Angriffs beinhaltete, um das OneKey-Gerät dazu zu bringen, zu glauben, dass es sich noch in der Fabrik befinde. Auf diese Weise konnte Unciphered das Gerät dazu bringen, die Startphrase der Brieftasche – eine zufällige, nicht zu erratende Zeichenfolge aus 12 oder mehr Wörtern, die als Passwort dient – an einen anderen Teil des Computersystems des Geräts weiterzuleiten und sie dabei zu erfassen.
Der Besitz einer Seed-Phrase bedeutet, dass es möglich ist, Zugang zu den digitalen Assets in einer Brieftasche zu erhalten und sie zu stehlen, indem sie an eine andere Adresse gesendet werden. Oder einfacher gesagt, es ist wie eine Kopie des Schlüssels für das Schließfach einer Person, auf die jederzeit und überall zugegriffen werden kann.
Hier sind Bilder, die den Exploit zeigen, der laut Unciphered weniger als eine Sekunde dauert, nachdem das OneKey-Gerät zerlegt und die „Man-in-the-Middle“-Komponente angeschlossen wurde:
Yishi Wang, der Gründer von OneKey, bestätigte die Existenz des Exploits und erzählte es Reichtum Das Unternehmen hat inzwischen ein Update zur Reparatur bereitgestellt.
„Wir wissen die Unterstützung von Unciphered und anderen Sicherheitsexperten zu schätzen. Die oben erwähnte Firmware-Schwachstelle, die einen physischen Zugriff erforderte [and] Spezialausrüstung, wurde jetzt repariert“, sagte er per E-Mail.
Laut Unciphered zahlte OneKey dem Unternehmen 10.000 US-Dollar in Form einer „Bug Bounty“ – ein Begriff, der ein Belohnungssystem beschreibt, das von vielen Technologie- und Kryptounternehmen angeboten wird, um weiße Hacker zu ermutigen, Schwachstellen auf verantwortungsvolle Weise zu melden und zu teilen.
Wie sicher sind Hardware Wallets wirklich?
Während das Vorhandensein von Schwachstellen immer Anlass zur Sorge gibt, ist die Realität, dass nicht alle Exploits eine erhebliche reale Gefahr darstellen. Wie der OneKey-Gründer in seiner Antwort anmerkte Reichtumerforderte die von Unciphered entdeckte Schwachstelle, dass ein Hacker physischen Zugriff auf das Gerät und ein hohes Maß an technischer Kompetenz hatte – eine ganz andere Situation als bei einem Software-Exploit, der von einem Cyberkriminellen auf niedriger Ebene verkauft oder verwendet werden kann.
Trotzdem ist die Gefahr immer noch real. Laut Eric Michaud, dem Gründer von Unciphered, besitzt die Art von Person, die eine Hardware-Wallet besitzt, normalerweise eine beträchtliche Menge an digitalen Vermögenswerten und wird besonders wahrscheinlich von raffinierten Kriminellen ins Visier genommen. Er stellt fest, dass Kryptokonferenzen eine besonders zielreiche Umgebung für Diebe bieten, einschließlich derer, die in Hotelzimmer einbrechen.
In einem Interview stellte Michaud auch fest, dass Hardware-Wallets ein falsches Sicherheitsgefühl vermitteln können, was dazu führt, dass Besitzer ihr Gerät nicht sicher aufbewahren, weil sie davon ausgehen, dass Hacker es nicht knacken können. Und während Hardwarehersteller Software-Updates bereitstellen, um die Sicherheit eines Geräts zu erhöhen – wie OneKey es als Reaktion auf die Entdeckung von Unciphered getan hat – gibt es auch das Problem älterer Wallets, deren Hersteller nicht mehr im Geschäft sind oder deren Besitzer es versäumen, sie zu aktualisieren.
Im weiteren Sinne sagt Michaud, dass Unciphered – das mit langjährigen Sicherheitsforschern besetzt ist, von denen einige über nationale Sicherheitsfreigaben verfügen – auch über eine viel breitere Palette von Hardware-Wallets besorgt ist als OneKey.
Laut Michaud recyceln mehrere Hardware-Wallet-Hersteller dieselbe Codebasis, um ihre Produkte herzustellen, was bedeutet, dass eine in einer Wallet entdeckte Schwachstelle oft in anderen gefunden wird. Das Ergebnis ist, dass diejenigen, die sich auf Hardware-Wallets verlassen, um ihre Kryptos zu schützen, wachsam bleiben müssen.
Diese Geschichte wurde ursprünglich auf Fortune.com veröffentlicht
Mehr von Fortuna:
5 Nebenbeschäftigungen, bei denen Sie über 20.000 US-Dollar pro Jahr verdienen können – und das alles, während Sie von zu Hause aus arbeiten
Die 5 häufigsten Fehler, die Lottogewinner machen
So viel Geld müssen Sie jährlich verdienen, um bequem ein 400.000-Dollar-Haus zu kaufen
Quelle: von Yahoo Finance
