Хакери знайшли спосіб зламати будь-який апаратний криптовалютний гаманець

Фахівці з комп’ютерної безпеки виявили новий спосіб крадіжки закритих ключів з апаратних криптогаманців, який працює на будь-яких пристроях. Зловмисний метод отримав назву Dark Skippy і вимагає від користувача лише двох підписаних транзакцій для отримання ключа. Основна небезпека полягає в тому, що для цього користувач повинен встановити прошивку зі шкідливим кодом, яка може бути розміщена на сумнівних ресурсах в інтернеті.

Метод Dark Skippy дозволяє зловмисникам отримати частини сід-фрази навіть у тому випадку, якщо жертва використовує незмінене стороннє обладнання для її генерації. Це досягається шляхом вбудовування частин сід-фрази у спеціальні поля з низькою ентропією, які використовуються для підпису транзакцій. Отримані підписи можуть бути дешифровані за допомогою алгоритму кенгуру Полларда, що дозволяє відновити частини сід-фрази.

Алгоритм кенгуру — це спеціальний метод, який використовують для розв’язання деяких складних математичних задач, зокрема задачі дискретного логарифма. Цей метод особливо корисний у криптографії, де його використовують для злому криптографічних систем (ред.).

Засновники компанії Frostsnap, яка виробляє апаратні гаманці, радять користувачам уникати встановлення неперевірених прошивок і дотримуватися рекомендацій виробників щодо безпеки. Вони також рекомендують виробникам апаратних гаманців удосконалити протоколи підпису, щоб унеможливити дешифрування підписів.

Раніше подібні атаки Ledger-mogly-staty-zhertvamy-kibershpygunstva/">вже здійснювалися на апаратні гаманці, зокрема на Ledger Connect Kit, що призвело до втрати коштів користувачами. Компанія Ledger обіцяла компенсувати втрати постраждалим.