Взломали "неуязвимый" криптовалютный кошелек Джона МакАфи

Помните, мы писали о "неуязвимом" криптовалютном кошельке, который так горячо рекламировал Джон МакАфи?

Группа исследователей успешно совершила несколько подписанных транзакций, несмотря на все "механизмы безопасности", которые должны были не допустить этого.

Well, that's a transaction made with a MitMed Bitfi, with the phrase and seed being sent to a remote machine.That sounds a lot like Bounty 2 to me. pic.twitter.com/qBOVQ1z6P2— Ask Cybergibbons! (@cybergibbons) 13 August 2018

Исследователи полагают, что они выполнили все условия для получения вознаграждения в размере 10.000 долларов. Bitfi озвучили три критерия, для получения вознаграждения: исследователи должны были доказать, что они могут модифицировать устройство, подключиться к серверу Bitfi и отправлять конфиденциальные данные через устройство.

Получение доступа к устройству оказалось достаточно простой задачей: белые хакеры получили полный доступ (root) к нему две недели назад. С тех пор они отслеживали всю информацию передаваемою устройством. Исследователи также смогли подтвердить, что кошелек все еще подключен к серверам Bitfi.

Один из исследователей Эндрю Тирни (более известный как Cybergibbons), так комментирует проделанную работу:

Мы перехватили сообщения между кошельком и [Bitfi]. Это позволило нам отображать на экране всякие глупые сообщения. Перехват действительно не играет какой-то серьезной роли. Мы сделали это, чтобы продемонстрировать, что он все еще работает несмотря на значительные изменения, которые мы внесли в устройство.

Но что еще более важно: Тирни также подтвердил, что они выполнили третье условие - они отправили приватные ключи устройства и его кодовую фразу на удаленный сервер, выполнив все три требования, чтобы получить 10.000 долларов США в качестве вознаграждения.

Мы отправили сид и фразу с устройства на другой сервер с помощью netcat, ничего необычного в этом нет. Мы считаем, что все [условия] соблюдены.