Разработчик и производитель аппаратного криптокошелька OneKey заплатил хакерам вознаграждение в размере $10 тыс. за взлом. Злоумышленники продемонстрировали свою работу на YouTube.
Взломать кошелек хакерам из Unciphered удалось путем «обмана» устройства. Они заставили его считать, что оно находится на заводе. Благодаря этому удалось получить доступ к seed-фразе, то есть паролю кошелька. В Unciphered отметили, что для того, чтобы воспользоваться уязвимостью, требуется физический доступ к устройству, а также высокий уровень технической подготовки.
Основатель OneKey Иши Ванг подтвердил взлом устройства и сообщил, что компания уже выпустила обновление для устранения уязвимости. За обнаружение уязвимости компания заплатила хакерам $10 тыс. в виде «баунти» – вознаграждения программистам, которые находят уязвимости и сообщают о них.
Основатель Unciphered Эрик Мишо отметил, что аппаратные кошельки дают ложное ощущение безопасности из-за того, что хакеры якобы не могут их взломать. Однако на самом деле кошельки, особенно старые или с необновляемым ПО, также подвержены взлому. Мишо добавил, что владельцы криптокошельков, которые держут большое количество цифровых активов, часто становятся мишенью для злоумышленников – особенно на популярных в последнее время криптоконференциях.
Напомним, что производитель из Гонконга устройств для хранения криптовалюты OneKey позиционирует свое устройство как «кошелек с открытым исходным кодом, которому доверяют миллионы». В прошлом году компания привлекла около $20 млн в раунде финансирования, который возглавили Dragonfly, Ribbit Capital и Coinbase Ventures.
Источник: РБК
