4 milyar dolarlık bir değerlemeye sahip olan kripto para borsası Kraken’ın araştırma ekibi, yaygın olarak kullanılan kripto para donanım cüzdanı KeepKey’deki kurtarma kelimelerine ulaşmanın bir yolunu buldu.
Kraken Security Labs’tan yapılan açıklamada, saldırıyı gerçekleştirmek için özel bir donanım ve bilgiye ihtiyaç duyulduğu belirtildi. Açıklamaya göre, eğer bunlar tamamsa söz konusu cüzdanın kurtarma kelimelerine erişmek 15 dakikadan daha az vakit alıyor.
Ekip, cihazda saklanan şifrelenmiş kurtarma kelimelerini “voltage glitching” adı verilen bir saldırı yöntemiyle ortaya çıkardığını iddia ediyor.
Aşağıda saldırının başarılı olduğunu gösteren bir görsel yer alıyor:
Daha da kötüsü, araştırmacılara göre, bu kusuru düzeltmek kolay değil ve KeepKey’in cüzdanı en baştan tasarlamak dışında yapabileceği bir şey yok.
Kraken Security Labs, “Saldırı, KeepKey’de kullanılan mikro denetleyicideki düzeltilemez içsel kusurlardan faydalanılarak gerçekleştiriliyor.” diyor.
KeepKey cüzdanları, kripto para alım satım platformu ShapeShift tarafından satılıyor.
KeepKey kullananlar ne yapmalı?
Kraken ekibi, KeepKey kullanıcılarının kripto paralarını güvenceye almak için cihazlarına fiziksel erişime izin vermemesi gerektiğini söylüyor.
KeepKey’in zaten benzer saldırıların farkında olduğunu vurgulayan araştırmacılar, KeepKey’in daha önce işlerinin anahtarları fiziksel olanlardan ziyade uzak saldırılara karşı korumak olduğunu söylediğini aktarıyor.
Ayrıca araştırmacılar, saldırının tüm ayrıntılarını 11 Eylül’de KeepKey’e bildirdiklerini belirttiler.