Группа хакеров Unciphered взломала аппаратный криптокошелек, изготовленный компанией OneKey и получила вознаграждение в размере $10 тыс. от производителя этих устройств, сообщает Fortune. Взломщики опубликовали на YouTube видео, на котором показано, как они это делают.
Гонкогский производитель устройств для хранения криптовалюты OneKey позиционирует свой продукт как «кошелек с открытым исходным кодом, которому доверяют миллионы». В сентябре прошлого года стартап привлек около $20 млн в раунде финансирования, который возглавили Dragonfly, Ribbit Capital и Coinbase Ventures.
Взломщики Unciphered обманули устройство, заставив его считать, что оно все еще находится на заводе, сообщает издание. Таким образом, Unciphered удалось заставить устройство раскрыть seed-фразу (пароль) кошелька. Уязвимость требовала от хакера физического доступа к устройству и высокой степени технической подготовки.
Основатель OneKey Иши Ванг подтвердил взлом устройства и сообщил, что компания уже выпустила обновление для устранения уязвимости. OneKey заплатила «белым» хакерам (так называют взломщиков, которые находят ошибки и сообщают о них разработчикам) $10 тыс. в виде «баунти» — вознаграждения программистам, которые находят уязвимости и сообщают о них.
Основатель Unciphered Эрик Мишо рассказал, что владелец аппаратного кошелька обычно имеет большое количество цифровых активов и особенно часто становится мишенью для преступников. Мишо отметил, что особенно привлекательным место для воров стали криптоконференции.
Он также обратил внимание на то, что аппаратные кошельки могут давать ложное ощущение безопасности, заставляя владельцев думать, что хакеры не смогут их взломать. Особенно это касается старых устройств, производители которых больше не работает, или владельцы которых не обновляют их.
В случае взлома и кражи криптоактивов награда «белым» хакерам обычно составляет около 10% от суммы похищенных ими средств. Так, в августе прошлого года блокчейн-мост Nomad предложил хакерам, укравшим криптовалюту на $190 млн, оставить себе токены на $19 млн.
В то же время многие криптокомпании заранее устанавливают сумму «баунти», которую они готовы выплатить обнаружившим уязвимости пользователям. Например, максимальная награда за нахождение ошибки, назначенная командой протокола Arbitrum, составляет $2 млн. Но в августе прошлого года «белый» хакер, под ником Riptide получил от разработчиков только 400 ETH (около $531 тыс. на тот момент) после выявления критической ошибки в коде. Riptide остался недоволен суммой вознаграждения и заявил, что такая «недоплата» может подтолкнуть «белых» хакеров к переходу в ряды «черных».
https://www.rbc.ru/crypto/news/63e5fc449a794781b93b77f3
