Deze 15-jarige jongen hackt ‘onhackbare’ cryptocurrency-portemonnee

Deze 15-jarige jongen hackt ‘onhackbare’ cryptocurrency-portemonnee

We weten allemaal heel goed dat de cryptocurrencies op een grote verscheidenheid aan sites kunnen worden opgeslagen. We kunnen ze in de uitwisselingsportalen hebben (optie niet aanbevolen), in een portemonnee op onze computer (aanbevolen maar met back-up), en we kunnen ze ook offline opslaan op apparaten die vergelijkbaar zijn met USB-geheugens. Nu is het volgens de laatste rapporten echter een 15-jarige jongen gelukt om een ​​’niet-hackbare’ cryptocurrency-portemonnee te hacken.

Deze 15-jarige jongen hackt ‘onhackbare’ cryptocurrency-portemonnee

De cryptocurrencies kunnen op een groot aantal verschillende sites worden opgeslagen. We kunnen ze in de uitwisselingsportalen hebben (optie niet aanbevolen), in een portemonnee op onze computer (aanbevolen maar met back-up), en we kunnen ze ook offline opslaan op apparaten die vergelijkbaar zijn met USB-geheugens. Een bedrijf dat beweerde crypto-wallets (offline USB-apparaat) te hebben die niet te hacken waren, heeft zojuist gezien hoe een 15-jarig kind ze als bewijsmateriaal heeft achtergelaten.

Ledger, gespecialiseerd in cryptocurrency wallets, is gehackt

Het bedrijf heet Ledger en het is Frans. Ze zijn er altijd van uitgegaan dat hun hardware voor het opslaan van cryptocurrencies zo veilig is dat niemand ze kan corrumperen zonder dat hun eigenaren het merken. Hiervoor gebruiken ze een techniek genaamd Anonymous Attestation, of anonieme verklaring, die onvervalste handtekeningen creƫert zodat alleen goedgekeurde code wordt uitgevoerd. In 2015 zei het bedrijf dat het voor een aanvaller onmogelijk was om de firmware te vervangen en het declaratieproces te doorlopen zonder de privƩsleutel van Ledger te kennen.

Een 15-jarige uit het Verenigd Koninkrijk heeft echter laten zien dat dit niet het geval is. De jongen, Saleem Rashid genaamd, heeft uitgelegd hoe een achterdeur in de Ledger Nano S werkt, die $ 100 waard is en waarvan het bedrijf beweert al miljoenen te hebben verkocht. Het werkt ook met de Ledger Blue, ondanks dat het het high-end is en $ 200 kost.

De achterdeur heeft slechts 300 bytes en zorgt ervoor dat het apparaat standaard portemonnee-adressen en wachtwoorden genereert die bekend zijn bij de aanvaller. Zo kan de aanvaller het wachtwoord in de portemonnee invoeren om de sleutels op te halen die het oude apparaat voor die adressen opslaat. Door dat te doen, kan een aanvaller, als we geld naar een andere persoon proberen te sturen, het adres wijzigen en zijn/haar eigen adres plaatsen, evenals het bedrag wijzigen. De exploit maakt dit alles mogelijk terwijl je ook fysieke toegang hebt tot het apparaat.

Het is erg moeilijk om het softwarematig te repareren

Het bedrijf bracht twee weken geleden een patch uit voor de Nano S, en ze beweren dat de kwetsbaarheid niet kritiek was en dat de aanval de extractie van de privƩsleutels niet toestond, waarop Rashid antwoordde dat de laatste een leugen was.

Rashid heeft nog niet getest of de methode werkt op reeds gepatchte toestellen. Hij zegt echter dat een belangrijk onderdeel van Ledger’s hardware-ontwerp het zeer waarschijnlijk maakt dat het met een simpele wijziging weer werkend kan worden gemaakt. Het systeem maakt gebruik van een kwetsbaarheid die bestaat in de manier waarop de microcontrollers erin communiceren.

Een professor aan de John Hopkins University, Matt Green genaamd, heeft de post van Rashid beoordeeld en is van mening dat het erg moeilijk is voor de patch die deze maand is uitgebracht om de kwetsbaarheid te verhelpen. De beveiligingschip kan de code die in de processor wordt uitgevoerd niet kennen, dus u moet de processor zelf vragen en “vertrouwen” dat deze legitiem is.

Dus, wat vind je hiervan? Deel eenvoudig al uw mening en gedachten in het commentaargedeelte hieronder.

Nieuwste artikelen

Gerelateerde artikelen