Подписывайтесь на наш Telegram канал
Новости крипторынка у вас в телефоне
Подписаться
Пицца Laszlo
10 000 BTC
Стоимость пиццы Ласло на сегодняшний день составляет:
$ 950 920 000
До Bitcoin Pizza Day еще 169 дней

Проблемные криптокошельки: самые громкие кражи, взломы и уязвимости

Содержание статьи:

На фоне роста крипторынка растет и популярность цифровых валют, которые пользуются все большим спросом. Так, по данным сервиса Google Trends, сейчас количество запросов «купить криптовалюту» находится на максимуме по сравнению с декабрем 2017 года. Однако безопасная покупка криптовалют — это лишь полдела. Не менее важен вопрос хранения криптовалюты. Самый простой способ — держать свои активы на бирже, однако на крипторынке именно торговые криптоплатформы подвержены взломам и атакам хакеров чаще всего. Эксперты по кибербезопасности рекомендуют хранить средства на внешних, внебиржевых кошельках. Но даже делая выбор в пользу таких устройств, необходимо ответственно подходить к выбору. Рассказываем про сервисы, с которыми нужно быть начеку или не использовать вовсе. 

Electrum

Популярный биткоин-кошелек Electrum, который работает на крипторынке уже 10 лет, имеет репутацию достойного и безопасного сервиса. Однако еще в 2018 году у его пользователей появились первые серьезные проблемы. 

Тогда специалист службы безопасности Google Тавис Орманди нашел в коде программного обеспечения кошелька Electrum критическую уязвимость. Так, хакеры могли получить доступ к биткоинам клиентов простым способом — при помощи JavaScript. Средства оказывались под угрозой каждый раз, когда пользователь сидел в интернете, а его кошелек был в режиме онлайн. 

И даже после того, как разработчики проекта исправили ошибку и обновили программное обеспечение кошелька Electrum, Орманди сообщил, что эта уязвимость существовала уже больше года. А команда Electrum знала о ней, но не предпринимала никаких действий до тех пор, пока этому не была придана широкая огласка. 

Несмотря на то, что проблема была решена, в декабре 2018 года хакеры взломали инфраструктуру кошелька и похитили около 250 биткоинов на сумму $1 млн ($12.2 млн по текущему курсу). При этом атака произошла прямо внутри официального приложения кошелька. Преступники в ходе атаки нашли способ внедрить несколько десятков вредоносных серверов в инфраструктуру Electrum. Когда пользователи отправляли транзакцию с BTC на этот сервер, то пользователь настоящего кошелька Electrum получал сообщение, в котором говорилось о необходимости обновить ПО. Оно требовало провести обновление, после установки которого пользователь вводил свои данные, а те, в свою очередь, отправлялись преступникам и открывали доступ к биткоинам жертв. 

Примечательно, что даже когда проблема уже была установлена, разработчики не удалили вредоносные сообщения, а видоизменили их, просто убрав из них гиперссылку на репозиторий с вредоносным файлом. При этом адрес злоумышленников сохранился в виде некликабельной ссылки, в связи с чем многие пользователи просто копировали его и вставляли в поисковую строку. 

Далее руководство проекта подтвердило наличие атаки и заявило, что нужно скачивать обновление приложения кошелька Electrum только с официального сайта проекта. А через месяц представили новую версию биткоин-кошелька, в которой главное нововведение заключалось в том, что теперь уведомления об обновлениях будут появляться внутри программы. То есть точно таким же образом, как сообщения оставляли хакеры. 

Новые фишинговые атаки на биткоин-кошелек Electrum начались в начале 2019 года. А осенью 2020 года на Electrum была успешно совершена DDoS-атака, в результате которой один из пользователей потерял $140 000 криптовалюте, а всего пострадало более 152 000 кошельков юзеров этого сервиса. Их убыток в долларовом эквиваленте превысил $4.6 млн по курсу на тот момент. 

Ни одному из них не была выплачена компенсация. Команда проекта утверждает, что все потери произошли исключительно по причине невнимательности клиентов. 

BitFi

В июле 2018 года создатель антивируса McAfee Джон Макафи, который теперь в США отбывает наказание за неуплату налогов, рекламировал криптокошелек BifFi. Компания-производитель тогда обещала вознаграждение в $100 000 тому, кто сможет взломать устройство. Позднее сумма была увеличена до $250 000. Для этого пользователям предлагали купить кошелек, содержащий определенную сумму в криптовалюте, и попытаться получить доступ к ней.

В скором времени стало известно, что речь идет о приложении криптокошелька BifFi на смартфоне Android, который был лишен функции звонков. Так, за $120 любой желающий мог приобрести устройство, где хранились монеты, и попробовать подобрать пароль к нему. При этом само устройство имело множество критических уязвимостей, и несмотря на громкие заявления организаторов проекта кошелек неоднократно взламывали. Однако в ответ компания отказывалась платить обещанное вознаграждение, утверждая, что никто так и не смог получить доступ к криптовалюте, хранящейся на устройстве. 

Так, программное обеспечение устройства было настолько «сырым», что энтузиастам удалось полностью перепрошить его, подключиться к дисплею и внести изменения в его работу. При этом сам кошелек BifFi на устройстве никак не реагировал на такого рода действия — пользователи даже не узнали бы, что на него идет активная атака. Один из программистов, который искал уязвимости в кошельке, рассказал, что для взлома его даже не нужно покупать. Программа запускалась на любом компьютере с эмулятором Android. 

BifFi был настолько небезопасным, что подросток сумел запустить на нем игру Doom. Программисты, которые за взлом требовали от компании свое вознаграждение в $250 000, в ответ получали лишь угрозы. Несмотря на все безумие, которое происходило вокруг проекта, его активная рекламная кампания продолжалась. В сентябре 2018 года Макафи пообещал $20 млн хакерам, которые смогут вывести средства с трех конкретных кошельков BifFi. О выплате вознаграждений в итоге не сообщалось. 

Сейчас проект продолжает функционировать и предлагает купить устройство за $199. Но в России можно вдвое дешевле приобрести кошельки для холодного хранения криптовалюты от крупных компаний, таких как Ledger и Tresor. Тем не менее даже у известных производителей есть свои проблемы, о которых пойдет речь дальше. 

Ledger

В декабре прошлого года стало известно, что в открытый доступ попали персональные данные 270 000 пользователей криптовалютного холодного кошелька Ledger. Хакер выложил в сеть 1 млн email-адресов, почтовые адреса и телефонные номера клиентов компании. Все они в конечном счете оказались под угрозой преследования и шантажа. Примечательно, что в базе данных оказались сведения 4 865 пользователей из России и 863 — из Украины. 

Впервые об утечке данных 9 532 учетных записей и порядка миллиона email-адресов пользователей Ledger сообщалось летом 2020 года. Тогда компания заявила на официальном сайте, что неизвестные смогли получить доступ к именам ее клиентов, их электронным и почтовым адресам, а также к информации о приобретенных продуктах. Это привело к тому, что хакеры начали рассылать пользователям угрозы. Но в компании ответили, что не будут платить компенсации пострадавшим. 

«Когда настолько масштабная утечка данных происходит у маленькой компании, мы не можем возместить убытки миллионам пользователей, это просто невозможно. Это просто убьет компанию», — объяснял генеральный директор Ledger Паскаль Готье. Он посоветовал пострадавшим клиентам просто не хранить свои аппаратные кошельки дома. 

Тем не менее в январе в Ledger заявили, что компания работает с правоохранительными органами для поиска злоумышленника и сформировала фонд в размере 10 BTC, который будет использован для выплаты награды за предоставление информации, ведущей к аресту хакера. 

Это не единственная проблема, связанная с компанией Ledger. Летом прошлого года команда экспертов по кибербезопасности ZenGo также обнаружила уязвимость в кошельке Ledger Live, а также в Edge и BreadWallet. 

Хакеры использовали функцию, которая позволяла пользователям менять неподтвержденную транзакцию на новую с другой комиссией. За счет этого можно было повысить оплату для майнеров и ускорить перевод. Для кражи криптовалюты хакеры стали менять транзакцию пользователя на другую, с более низкой комиссией, за счет чего она бы не получила подтверждения. Затем они меняли находящуюся в режиме ожидания транзакции на свою, ведущую на их адрес. В итоге средства пользователей уходили к злоумышленникам, а сервис показывал все так, словно транзакция прошла успешно. После обнаружения в Ledger Live исправили уязвимость. 

Эксперты Kaspersky Lab писали и о других проблемах кошельков Ledger. Они предупредили, что кошелек Nano S можно перепрошить, чтобы при исходящих транзакциях он подменял адрес на кошелек злоумышленника. 

Однако некоторые уязвимости присущи всем подобным устройствам. Например, исследователь по безопасности Джош Датко смог установить на Ledger Nano S недорогой имплант, нажимающий кнопку подтверждения при получении команды по радио. Nano S был выбран как самый компактный из криптокошельков, потому что в него встроить подобный вредоносный чип было сложнее всего.

В то же время другое устройство компании, Ledger Blue, также имеет недостатки безопасности. Его печатная плата излучает радиосигналы, когда пользователь вводит PIN-код. Специалисты с помощью особого алгоритма смогли распознавать их с точностью до 90%. Однако эти проблемы существенны только в том случае, если злоумышленники получили физический доступ к устройству. Но это в целом является одной из ключевых уязвимостей аппаратных кошельков — имея физический доступ к таким устройствам, опытный хакер, вероятно, сможет взломать их.

Trezor

Летом 2019 года команда по безопасности Donjon компании Ledger выяснила, что устройства Trezor One, Trezor T, а также Keepkey и другие клоны популярных моделей аппаратных кошельков могут быть взломаны за несколько минут при помощи оборудования стоимостью в $100. Получив физический доступ к кошельку, хакерам потребуется порядка 5 минут, чтобы добраться до средств жертвы. По словам специалистов, уязвимости подвержены любые версии прошивки, а этот метод был проверен на 20 кошельках.

По словам членов Donjon, они сообщили в Trezor о проблеме безопасности еще год назад, однако их предупреждение было проигнорировано. Разработчики выразили мнение, что компания уже знала об уязвимости, но не предпринимала никаких действий, чтобы ее устранить. В Donjon отметили, что эту проблему также нельзя решить обновлением прошивки. 

В другом случае, когда конкурент Ledger нашел серьезные неисправности в кошельках Trezor, представители компании ответили, что часть ошибок была исправлена ранее, а другая не является критичной. В Trezor подчеркнули, что все найденные проблемы были связаны именно с физическим доступом к устройству — ни одно устройство не может быть на 100% защищено от взлома, поэтому владельцам криптовалют необходимо заботиться о сохранности своих средств, продумывая надежные пароли и отслеживая подозрительные транзакции.

Тем не менее в прошлом году специалисты по кибербезопасности Kraken Security Labs смогли взломать аппаратные кошельки Trezor и Trezor Model T за четверть часа. Они подробно объяснили, как можно получить доступ к криптовалюте, находящейся на устройстве. Экспертам удалось взломать PIN-код, защищающий сид-фразу от кошелька, потратив на подбор комбинации буквально несколько минут. 

О критических уязвимостях кошельков Trezor и о том, как его взломать, также было рассказано в видео от лица Kraken Security Labs. 

В заключение

Когда встает вопрос о том, как хранить свои криптовалюты, то необходимо четко понимать, что нет ни одного решения, которое гарантировало бы безопасность на 100% при любых обстоятельствах.

Мы представили вашему вниманию самые громкие кейсы последних лет, которые проливают свет на то, как мошенники получают доступ к монетам пользователей популярных криптокошельков. Однако это далеко не исчерпывающий список. Поэтому настоятельно рекомендуем вам обязательно ознакомиться с отзывами о сервисах и узнать их политику на случай взломов перед тем, как доверить им свои криптовалюты. 

 
Статьи по теме
20.09.2024
Unity Wallet — единственный криптокошелек со встроенными KYT-проверками
0
22.12.2023
Обзор нового Web3-кошелька Binance: как настроить и пользоваться
0
13.12.2023
S&P Global оценил безопасность 8 стейблкоинов
0
24.11.2023
Обзор AAA-игры на блокчейне Shrapnel
0
22.06.2022
Обзор платформы Waves: в чем причины роста криптовалюты проекта
0