Kraken: $75 na Device ang Dadalhin Ka sa Crypto Hardware Wallet KeepKey

Sinabi ng Kraken Security Lab na ang Crypto hardware wallet na KeepKey ay hindi gumagawa ng sapat upang protektahan ang mga customer mula sa mga pisikal na pag-atake, na sinasabing nakapasok ito sa system gamit ang isang $75 na device.

"Ang kailangan lang ay pisikal na pag-access sa wallet sa loob ng mga 15 minuto," sabi ng firm sa isang post sa blog noong Martes.

Sinabi ng Kraken Security Lab na alam na ng KeepKey ang mga katulad na pisikal na pag-atake, ngunit tila mas nakatuon sa pagprotekta sa mga susi ng mga user mula sa malalayong pag-atake, na binanggit ang isang pahayag mula sa Shapeshift ng magulang ni KeepKey noong Hunyo 13.

Ang mga pag-atake ay maaaring kumuha ng mga buto na maaaring makatulong sa mga user na ibalik at i-backup ang kanilang mga wallet mula sa isang boltahe na glitching device na nagkakahalaga ng humigit-kumulang $75.

Gayunpaman, sinabi ni Michael Perklin, punong opisyal ng seguridad ng impormasyon ng Shapeshift, na ang pahayag ng Kraken Security ay nakaliligaw, ayon sa isang pahayag na natanggap ng CoinDesk. Ang palitan ng Crypto nakuha hardware wallet startup KeepKey para sa hindi natukoy na halaga noong Agosto 2017 para bumuo ng Technology at seguridad nito para sa mga may hawak ng Crypto nito.

"Hindi lamang ang pag-atake na ito ay nangangailangan ng pisikal na pagmamay-ari ng device, mangangailangan ito ng makabuluhang paghahanda at kadalubhasaan, pati na rin ang mga espesyal na kagamitan," sabi ni Perklin.

"Posible lamang ang gastos kung ang tao ay may lubos na sopistikadong pag-unawa sa kung ano ang kailangan," idinagdag niya. "Ang karaniwang tao ay hindi magkakaroon ng edukasyon tungkol sa disenyo ng hardware o computer science upang pumili ng mga piyesa sa halagang $75 at matagumpay na bumuo ng isang tool na gagamitin para sa ganitong uri ng pag-atake."

Sinabi ng Kraken Security Lab sa post nito sa blog na habang mahirap ipagtanggol ang mga pisikal na pag-atake, natagpuan nito ang pagtutok ng Keepkey sa malalayong pag-atake na "potensyal na wala sa linya sa pagba-brand ng [nito] produkto."

Tumugon si Perklin na gumawa ang KeepKey ng mga hakbang upang protektahan ang mga user nito mula sa mga potensyal na pisikal na pag-atake bago ito ipaalam ni Kraken.

"Inirerekomenda namin ang aming mga user na gumamit ng BIP39 passphrase na nagdaragdag ng karagdagang layer ng seguridad," sabi ni Perklin. "Ang proseso ay medyo madali at nagbigay kami ng sunud-sunod na mga tagubilin kung paano i-set up ang BIP39 sa Hunyo 13 na pahayag."

ONE sa mga dahilan kung bakit mahirap pigilan ang gayong mga pisikal na pag-atake ay ang KeepKey ay kailangang muling idisenyo ang hardware nito. Sa partikular, sinasabi ng Kraken Security Lab, kailangang baguhin ng wallet ang microcontroller dahil sa "mga likas na bahid" na maaaring magamit ng mga hacker.

"Mahalagang maunawaan na kung pisikal mong mawala ang iyong KeepKey, ang kahinaan na ito ay maaaring magamit upang ma-access ang iyong Crypto," ayon sa post sa blog.

"Ito ay katulad ng isang pagkakatulad ng lock ng pinto. Maaari mong palitan ang mga kandado sa iyong pinto nang madalas hangga't gusto mo, ngunit ang isang taong may sapat na oras at kadalubhasaan ay maaaring palaging pumili ng lock," tugon ni Perklin.

"Ang muling pagdidisenyo ng KeepKey, o paggamit ng ibang microcontroller, ay maaaring makapagpabagal sa isang umaatake kung mayroon silang pisikal na aparato, ngunit hindi ito titigil sa kanila kung sila ay determinado, may kasanayan at may sapat na oras upang pumasok," dagdag niya.

Sinabi ng Kraken Security Lab na isiniwalat nito ang buong detalye ng banta ng pag-atake na ito sa KeepKey noong Setyembre 11 at isasapubliko na ngayon para maprotektahan ng Crypto community ang sarili nito. Kinumpirma ng Shapeshift na natanggap nito ang impormasyon at hiniling sa mga user nito na gamitin ang BIP39 passphrase bago ang oras na iyon.