«Лаборатория Касперского» зафиксировала один из первых известных случаев кражи денег из аппаратного криптокошелька. Ранее такие устройства для хранения криптовалют считались самым безопасным и надёжным способом сберечь цифровые активы: поскольку на компьютере ничего не хранится, то если кошелёк физически при тебе, то крипта никуда и не денется, как в случае с обычными монетами и купюрами.
Кошелёк действительно лежал запертым в сейфе владельца и никто физического доступа к нему не имел. Однако с него пропали 1,33 биткойна, что эквивалентно примерно 30 тыс. долл.
Схема оказалась довольно сложной: изначально злоумышленники покупали аппаратные криптокошельки, которые конструктивно похожи на флешку – вот микросхема памяти, вот контроллер. Затем они разбирали устройство, выпаивали контроллер и меняли его на другой, с модифицированной ими прошивкой и загрузчиком. «Левая» прошивка не имела механизмов защиты, но самое главное – кодовая сид-фраза для доступа к кошельку при его инициализации генерировалась не случайным образом, а псевдослучайным: одна из 20 заранее запрограммированных и известных злоумышленникам. А если пользователь устанавливал дополнительный пароль, то использовался только его первый символ.
Аппаратный кошелёк изнутри: слева оригинал, справа подделка
То есть, жертва думала, что кошелёк работает как обычно, на самом же деле после первого включения злоумышленники имели полный доступ к кошельку: им требовалось перебрать всего-то 20 вариантов сид-фразы или дополнительно к ней один из 64 возможных первых символов пароля, итого 64х20=1280 комбинаций.
Сейчас в России наблюдается взрывной (двукратный) рост спроса на аппаратные криптокошельки. Это может быть связано с новостями о скором запуске цифрового рубля. Кроме того, растёт недоверие россиян к иностранным криптобиржам из-за усиления санкционных ограничений; хранить «крипту» на бирже ненадёжно, потому что, как говорится, not your keys = not your coins, сторонняя площадка в любой момент может заблокировать вывод средств за «неправильный» паспорт.
По прогнозам аналитиков агентства Brandessence, на аппаратных кошельках во всём мире к 2028 году будет храниться около $1,3 млрд, среднегодовой темп роста составит около 27%.