Разработчики аппаратного кошелька Coldcard выпустили прошивку для устранения критической уязвимости
Разработчики аппаратного кошелька для биткоина Coldcard выпустили бета-патч прошивки для устранения уязвимости, которая затронула аппаратный кошелек Ledger ранее в этом году. Исследователь безопасности Бен Ма (Ben Ma), работающий на производителя аппаратных кошельков Shift Crypto, обнаружил уязвимость в аппаратном кошельке Coldcard. Злоумышленник может обманом заставить пользователя Coldcard отправить настоящую транзакцию BTC, тогда как он считает, что отправляет транзакцию в тестовой сети. Транзакции BTC как в тестовой, так и в основной сети «имеют одно и то же представление транзакции», - пишет Ма в блоге Shift Crypto. Злоумышленник может сгенерировать транзакцию основной сети Биткоина для аппаратного кошелька, но сделать ее похожей на транзакцию тестовой сети. Это затрудняет распознавание ошибки пользователями. Ма узнал об уязвимости после того, как анонимный исследователь обнаружил так называемую атаку «обхода изоляции» в аппаратном кошельке Ledger. Когда была обнаружена первоначальная уязвимость, основатель Coinkite и создатель Coldcard Родольфо Новак (Rodolfo Novak) сказал: «Coldcard не поддерживает никаких "шиткоинов", мы считаем, что это лучший путь». По его мнению, содержащий только BTC кошелек будет безопасным, поскольку уязвимость отчасти возникла из-за того, что кошельки Ledger ранее позволяли управлять разными монетами, используя один и тот же закрытый ключ. Поскольку Coldcard не поддерживает несколько монет, теоретически в кошельке не должно быть этой проблемы. Однако кошелек может быть использован для транзакций в тестовой сети Биткоина и это открывает лазейку для хакеров. Если компьютер пользователя скомпрометирован, а его кошелек Coldcard разблокирован и подключен к этому устройству, злоумышленник может обманом заставить его отправить BTC в основной сети вместо транзакции в тестовой сети. «Злоумышленник просто должен убедить пользователя попробовать транзакцию в тестовой сети, применив любую атаку социальной инженерии. После того, как пользователь подтверждает транзакцию тестовой сети, злоумышленник получает BTC основной сети в том же объеме», - пишет Ма в блоге. Поскольку злоумышленник может выполнить эту атаку удаленно, уязвимость соответствует критериям критической проблемы Shift Crypto, что привело к необходимости раскрытия информации. Согласно статье, Ма раскрыл уязвимость Coinkite 4 августа, и Новак признал ее наличие на следующий день. 23 ноября Coldcard выпустил бета-версию прошивки для устранения уязвимости. Напомним, что недавно пользователи кошельков Ledger потеряли более 1 150 000 XRP, став жертвами мошенников, проводивших фишинговые атаки и завлекавших людей на поддельный сайт.
- 23 Ноя, 09:26
Прокуратура США назвала «абсурдными» аргументы разработчика эфириума против обвинений в помощи КНДР
«Простая гипотеза показывает абсурдность позиции Гриффита. По логике Гриффита, [положение о санкциях в отношении Северной Кореи] позволит американскому физику поехать в КНДР и объяснить на конференции северокорейских физиков науку, которая лежит в ос...
- 21 Ноя, 10:01
Prosegur запустила подразделение по хранению криптовалютных активов
Испанская компания Prosegur, занимающаяся всеми видами услуг в сфере безопасности, объявила о запуске кастодиального подразделения Prosegur Crypto, ориентированного на институциональных клиентов. По заявлению представителей Prosegur, новый сервис пок...
- 20 Ноя, 06:27
Разработчики Electrum выпустили версию кошелька 4.0.5
Команда разработчиков Electrum выпустила версию кошелька 4.0.5, в которой исправлена проблема, вызванная недавним обновлением Big Sur MacOS. Выпущенное на прошлой неделе обновление Big Sur не давало пользователям Electrum на MacOS работать с кошелько...
- 20 Ноя, 04:20
Mail.ru Group запустила курс для разработчиков BigData
«Учебная программа позволила по-новому взглянуть на работу с высокими нагрузками и освоить новые практики обработки больших данных. Занятия проходят интенсивно и требуют полного погружения в учебный процесс. Так что я готов порекомендовать учебный ку...
- 19 Ноя, 09:35
Разработчики Electrum исправили проблему работы кошелька в новой версии macOS
В начале августа пользователи Electrum открыли обсуждение проблемы на GitHub, сообщив что приложение не запускается после обновления операционной системы компьютеров Mac до бета-версии ее нового варианта Big Sur.
Cегодня
В мире за неделю
-
26 Ноя, 08:07+4 Статья "Необходимость регулирования криптовалют в финансовых отраслях "
-
25 Ноя, 13:14+8 Эксперт говорит, что Pepe превзойдет Dogecoin и Shiba Inu в этом цикле
-
25 Ноя, 12:08+5 Глава регулятора Южной Кореи отверг идею создания биткоин-резерва
-
21 Ноя, 13:08+4 Аналитик Bloomberg назвал лучшую дату для подачи заявки на Dogecoin ETF
-
18 Ноя, 12:10+4 BONK возглавил топ самых ценных мемкоинов на Solana