Возможно, разработчики криптовалютного кошелька не должны называть свои продукты «не взломанными». Пионер кибербезопасности и евангелист криптовалюты Джон Макафи, исполнительный председатель разработчика кошельков Bitfi, ранее называл продукт своей компании «первым в мире не взломанным устройством», согласно отчету Coin Telegraph. McAfee даже бросила вызов экспертам по безопасности для взлома устройства, предлагая вознаграждение в размере 100 000 долларов по состоянию на 24 июля этого года. Однако McAfee, возможно, заговорил слишком рано: похоже, группе исследователей удалось успешно взломать «не взломанный» кошелек.
Аппаратный кошелек
Устройство Bitfi - это аппаратный кошелек, то есть физический продукт, который инвесторы криптовалюты могут держать в руках, а не цифровое устройство хранения. Кошелек поддерживает «неограниченное количество криптовалют» и использует сгенерированную пользователем секретную фразу, а не стандартное мнемоническое семя из 24 слов. Кроме того, Bitfi утверждает, что его кошелек «полностью открыт», что означает, что пользователь сохраняет контроль над своими средствами, хранящимися в кошельке, «даже если производителя кошелька больше не существует». По всем этим причинам кошелек Bitfi предлагает очень привлекательный опыт для инвесторов в криптовалюты, ориентированных на безопасность.
Нарушение кошелька
Многие команды пытались взломать кошелек, но ни одна из них не смогла обойти функции безопасности, предусмотренные условиями вознаграждения. Затем, 12 августа, команда исследователей заявила, что может успешно отправить подписанные транзакции с кошельком, что будет соответствовать условиям программы вознаграждений. Для этого им пришлось изменить устройство, подключиться к серверу кошелька, а затем использовать его для передачи конфиденциальных данных.
Казалось бы, даже «не взломанный» кошелек может быть успешно взломан всего за три недели или около того.
Исследователь безопасности Эндрю Тирни (Andrew Tierney), входящий в группу по взлому, предположил, что «мы отправили начальное значение и фразу с устройства на другой сервер, оно просто отправляется с использованием netcat, ничего особенного». Тирни добавил, что «мы перехватили связь между кошельком и кошельком. Это позволило нам отображать глупые сообщения на экране. Перехват на самом деле не большая его часть, это просто демонстрация того, что он подключен к приборной панели и до сих пор работает несмотря на значительные изменения."
