Уязвимости аппаратных кошельков.

[satscraper]

Поводом для открытия темы послужил очередной найденный баг относящийся к кошельку Леджер.

На этот раз он касается куска кода, ответственного за реализацию части функций мiniscript в приложении, работающего с биткоин транзакциями.

Простыми словами этот кусок кода   преобразовывал условия траты накладываемые сложными скриптами минискрипт  в неправильный адрес  (" fragment, causing the app to produce wrong addresses." ), что неизбежно должно приводить к потере средств.

С минискрипт можно ознакомиться например прочитав эту статью.

Баг пофиксили несколько дней назад  ("2.1.2 version of the app fixed the handling") и рекомендуется обновить приложение биткоин на аппаратном кошельке тем не менее Леджер настоятельно рекомендует всегда проверять адреса, показываемые им на дисплее во процессе подписывания транзакций

Тема уязвимости аппаратных кошельков по моему глубокому убеждению является одной из самых горячо обсуждаемых на форуме. К сожалению их обсуждение разбросано и как мне кажется агрегация такого обсуждения в одном месте будет полезной для многих пользователей.

Лично у меня в ипользовании три модели аппаратников: Ledger nano s, Ledger nano s+  и Foundation Passport  2.  В очереди на приобретение ColdCard mk4. Буду следить за "новинками" в плане их уязвимостей.

Всех пользователей, имеющих и  не имеющих эти  а также другие аппаратные кошельки приглашаю к активному обсуждению и наполнениюо открытой темы.

Одна  только просьба избавить тему от разговоров "ни о чём" (типа как всё плохо, надо хранить на бумаге и не пользоваться аппаратными кошелькакми, холодное хранение на компьютере лучше и тому подобные никому не нужные рассуждения) или как ещё говорят "не лить воду" обсуждая тему.

Какие найденные и ненайденные уязвимости хотелось бы обсудить:

1) Конструктивные уязвимости  аппаратных кошельков, включая их архитектуру.

2) Уязвимости элементной базы аппаратных кошельков.

3) Уязвимости связанные с  програмным обеспечением аппаратных кошельков, включая их OS  (если таковая имеется), прошивки (драйвера),  встраиваемые приложения.

Что ещё?

[1714243358]

1714243358

[1714243358]

1714243358

[Smartprofit]

Поводом для открытия темы послужил очередной найденный баг относящийся к кошельку Леджер.

На этот раз он касается куска кода, ответственного за реализацию части функций мiniscript в приложении, работающего с биткоин транзакциями.

Простыми словами этот кусок кода   преобразовывал условия траты накладываемые сложными скриптами минискрипт  в неправильный адрес  (" fragment, causing the app to produce wrong addresses." ), что неизбежно должно приводить к потере средств.

С минискрипт можно ознакомиться например прочитав эту статью.

Баг пофиксили несколько дней назад  ("2.1.2 version of the app fixed the handling") и рекомендуется обновить приложение биткоин на аппаратном кошельке тем не менее Леджер настоятельно рекомендует всегда проверять адреса, показываемые им на дисплее во процессе подписывания транзакций

Тема уязвимости аппаратных кошельков по моему глубокому убеждению является одной из самых горячо обсуждаемых на форуме. К сожалению их обсуждение разбросано и как мне кажется агрегация такого обсуждения в одном месте будет полезной для многих пользователей.

Лично у меня в ипользовании три модели аппаратников: Ledger nano s, Ledger nano s+  и Foundation Passport  2.  В очереди на приобретение ColdCard mk4. Буду следить за "новинками" в плане их уязвимостей.

Всех пользователей, имеющих и  не имеющих эти  а также другие аппаратные кошельки приглашаю к активному обсуждению и наполнениюо открытой темы.

Одна  только просьба избавить тему от разговоров "ни о чём" (типа как всё плохо, надо хранить на бумаге и не пользоваться аппаратными кошелькакми, холодное хранение на компьютере лучше и тому подобные никому не нужные рассуждения) или как ещё говорят "не лить воду" обсуждая тему.

Какие найденные и ненайденные уязвимости хотелось бы обсудить:

1) Конструктивные уязвимости  аппаратных кошельков, включая их архитектуру.

2) Уязвимости элементной базы аппаратных кошельков.

3) Уязвимости связанные с  програмным обеспечением аппаратных кошельков, включая их OS  (если таковая имеется), прошивки (драйвера),  встраиваемые приложения.

Что ещё?

Если говорить о конструктивных уязвимостях аппаратных кошельков, то вот недавняя история.....

Злоумышленники просто распилили аппаратный кошелёк пополам и заменили фирменный микроконтроллер на свой собственный, который решал все вопросы по краже Биткоинов владельца кошелька.

Затем они склеили его заново, укрепив для надёжности ещё и  скотчем изнутри.

Весь замысел был построен на том, что микроконтроллер снаружи не виден, а распил был хорошо замаскирован. Там даже голографическая наклейка осталась нетронутой!

https://forklog.com/news/zloumyshlenniki-pohitili-30-000-v-bitkoinah-cherez-poddelnyj-apparatnyj-koshelek

 

[satscraper]

^
Аппаратники относятся к (как я их называю) "нательным" устройствам, что означает владелец должен предпринять все меры для того, чтобы они не попали в чужие руки.

Тем не менее производители кошельков просто обязаны предусмотривать такие случаи  при разработке архитектуры безопасности своих устройств.

Кошельки с такой архитектурой существуют и  думаю, что у нас ещё будет время поговорить о них.

Сейчас бы хотелось начать с самого "сердца" аппаратного кошелька,  и даже не всего сердца а его  важнейшей части - образно "пучка Гиса этого сердца"  - генератора случайных чисел, который определяет степень уязвимости генереруемой SEED фразы.

Меня  всё время беспокоит такой вопрос. Наскольно случайно то  изначальное число, из которого была создана SEED фраза моего Ledger. Даже незначительный её детерминизм делает кошелёк уязвимым к несанкционированному выводу средств.

Надо сказать, что даже зная это  число ( в моём случае оно 256 битное и из него генерируется фраза из 24 слов) ответить на этот вопрос очень сложно, или даже невозможно. Приведу простейший пример. Одно-битное число 0, выбранное устройством, случайное или нет? Ответ вроде простой. - Если оно выбрано случайным образом, то оно случайное. Но как узнать что оно выбрано случайным образом? - Только выбирая его огромное число  раз. Если после  окончания испытания и подсчета верояности окажется, что вероятность его выборки равна 1/2 ( или как говорят его энтропия равна 1 биту) , то оно случайное. Если получим другой результат, то в выборке имеется некоторая детерминированность, степень которой зависит от того, насколько сильно результат отличается от 1/2).

В случае с 256 битном числом тоже самое. Для того чтобы определить случайное оно или нет надо провести огромное число испытаний, значительно превышающее 2²⁵⁶ и подсчитать энтропию числа. Если она окажется равной 256 бит то число случайное.

На практике устройства генерирующие "случайные числа" проходят различные тесты (например тест на следующий бит) и получают соответствующие сертификаты от уполномоченых назовём их так лабораторий, которые испытывают их согласно разработaнным и зарекомендовавашим себя методикам.

Далее я приведу голые факты , касающие только генераторов случайных чисел в кошельках Ledger и Passport. Я намеренно не публикую здесь свои умозаключения относительно этих генераторов, Пусть каждый сделает их сам для себя. Только найденные мною голые факты, причём взятые  из официальных источников, а не из "жёлтой прессы".

Леджер использует RNG (Random Number Generator), который сертифицирован по  методике AIS-31.

Этот RNG относится к классу  ТRNG( Тrue RNG), что подтверждается ANSSI (Французским Национальным Агенством по Безопасности Информационных систем)

Как видно он соответствует PTG2 уровеню AIS31, что означает что генератор имеет дополнительный стохастический источник энтропии  и его стохастичность была протестирована по методике, разработанной Федеральным Офисом по Информационной Безопасности Германии (BSI).

Какой основной источник и какой дополнительный источник мне найти не удалось. Вот что говорит сам Леджер по этому поводу

И тут же следует следующее

после чего, по крайней мере у меня возникают вопросы.

Кстати Foundation не скрывает источник энтропии, который использует ТRNG в Пасспорт кошельке



И напоследок.

Если у вас есть сомнения относительно случайности случайного числа, из которого  содаётся СИД вашего аппаратника используйте мультиsig адреса, требующие для своего управления коопреативное использование приватных ключей, генерируемых кошельками от разных производителей.

[witcher_sense]

Потенциальная уязвимость есть в недавно анонсированной функции восстановления от Ledger https://www.ledger.com/recover Не буду рассуждать здесь насколько это глупо для провайдера аппаратного кошелька, то есть устройства для обеспечения надежного хранения активов без необходимости обращаться к услугам кастодианов, предлагать услугу, которая подразумевает передачу ключей сторонним лицам, но сама эта возможность передачи и обеспечивает новый вектор атаки. Если кратко, то сид фраза из кошелька копируется, затем шифруется и делится на три фрагмента. Каждый фрагмент передается и хранится у кастодиана и соответственно бесполезен сам по себе. Опять же, не будем вдаваться в подробности о том, что случится когда две из трех компаний решат скамануться. Беспокойство представляет фича по шарингу сид фразы.

Ledger Recover is provided by Coincover. When you subscribe to the service, your Ledger device sends 3 encrypted fragments of a pre-BIP version of your private key to 3 separate and independent companies.

По заявлением Леджер, эта фича опциональна, но проверить это никак нельзя из-за закрытости кода прошивок. И даже если она опциональна, то хакер может воспользоваться данной возможностью для извлечения сид фразы дистанционно. Такого никогда нельзя было представить, что производители аппаратника сами добавят возможность контактирования устройства с внешним миром, но Леджер постарались.

[dwyane36]

По заявлением Леджер, эта фича опциональна, но проверить это никак нельзя из-за закрытости кода прошивок. И даже если она опциональна, то хакер может воспользоваться данной возможностью для извлечения сид фразы дистанционно. Такого никогда нельзя было представить, что производители аппаратника сами добавят возможность контактирования устройства с внешним миром, но Леджер постарались.

Максимально спорное решение со стороны ledger, но стоит отметить, что это нововведение будет недоступно для большинства пользователей, ведь сначала подписка на этот сервис будет только для тех, у которых есть паспорт ЕС, Великобритании, Канады или США. Понятно, что сейчас есть еще опасения по поводу потенциальной уязвимости в коде и, как мне кажется, ledger следовало бы учитывать мнение комьюнити по этому поводу и выпустить две прошивки (с Ledger Recover и без), тем самым дав пользователям возможность выбора.

[klarki]

Максимально спорное решение со стороны ledger, но стоит отметить, что это нововведение будет недоступно для большинства пользователей, ведь сначала подписка на этот сервис будет только для тех, у которых есть паспорт ЕС, Великобритании, Канады или США. Понятно, что сейчас есть еще опасения по поводу потенциальной уязвимости в коде и, как мне кажется, ledger следовало бы учитывать мнение комьюнити по этому поводу и выпустить две прошивки (с Ledger Recover и без), тем самым дав пользователям возможность выбора.

И это схавает комьюнити  И дело здесь даже не в прошивке, а в том что изначально было зашито во внутрянке. Какое здесь вообще может быть мнение? Уже после слов Ledger Recover можно смело посылать на три буквы)

[satscraper]

^
Залезть "во внутрянку" можно любого кошелька, (если знаешь как), каким бы навороченным он не был.

Если бы такой возможности не существовало, то кошелёк бы попросту не работал.

Другой вопрос насколько эффективны те меры, которые принимает производитель, чтобы противостоять неавторизованным попыткам "залезть во внутрянку".

Кто интересуется может посмотреть как такие меры  реализованы у Леджер (стр 25)

Вообще по моему глубоку убеждению самая большая уязвимость любого аппаратника кроется в его обладателе.

[The0ldl_lser]

^
Залезть "во внутрянку" можно любого кошелька, (если знаешь как), каким бы навороченным он не был.

Если бы такой возможности не существовало, то кошелёк бы попросту не работал.

Почему сразу "не работал"? Утверждать ничего не могу, но чисто технически вполне можно реализовать так, что все операции начиная с разворачивания пар ключей из фразы, заканчивая подписанием транзакции, выполняется в изолированной среде "одним чипом". Что-то типа принципа "air-gap". А с компьютером взаимодействует только на уровне подготовки транзакции (на подпись). Я думал за это аппаратники как раз и ценятся. Это раньше они не имели своего экрана и клавиши, фразу надо было с клавиатуры/монитора вводить, хоть и один раз всего. Хотя я ничему не удивлюсь, особенно если почитать что выше говорят... Куда мир катится?  

[witcher_sense]

Максимально спорное решение со стороны ledger, но стоит отметить, что это нововведение будет недоступно для большинства пользователей, ведь сначала подписка на этот сервис будет только для тех, у которых есть паспорт ЕС, Великобритании, Канады или США. Понятно, что сейчас есть еще опасения по поводу потенциальной уязвимости в коде и, как мне кажется, ledger следовало бы учитывать мнение комьюнити по этому поводу и выпустить две прошивки (с Ledger Recover и без), тем самым дав пользователям возможность выбора.

Прошивка не играет никакой роли в обеспечении доступа к этой уязвимости для хакера. Возможность вытаскивать сид-фразу из изолированной среды всегда была вшита в сам кошелек, они, видимо, давно готовились предложить такой сомнительный сервис как Recover. Но учитывая что в Ledger рабтают не совсем профаны в плане создания безопасных устройств, то вероятность эксплойта уязимости и удаленная кража сид-фразы все равно гораздо меньше, чем к примеру сговор компаний и таргетированный скам пользователей. Возьмем для примера такой случай: какую-то страну X добавляют в санкционный список, правительство США требует у Леджер изъять средства у всех пользователей (или конкретных) из этой страны, три компании объединяют фрагменты и перемещают средства. Сейчас такой сценарий уже не кажется фантастичным.

[dwyane36]

Возьмем для примера такой случай: какую-то страну X добавляют в санкционный список, правительство США требует у Леджер изъять средства у всех пользователей (или конкретных) из этой страны, три компании объединяют фрагменты и перемещают средства. Сейчас такой сценарий уже не кажется фантастичным.

Судя по информации на сайте ledger, если пользователь использует эту функцию, то каждый фрагмент должен будет храниться в отдельной компании - coincover, ledger и еще у какого-то независимого провайдера. Очевидно, что если регулятора по каким-либо причинам заинтересуют фрагменты, то этих компаний в любом случае предоставят их. Да и если я правильно понял, то для восстановления доступа к кошельку достаточно, чтобы только 2 из 3 компаний отправили фрагменты.

[Julien_Olynpic]

Да, с кошельком Леджера с каждым днём всё интереснее и интереснее. Недавно СЕО Леджер опубликовал интересный твит, в котором сообщается, что есть возможность вызова леджеровцев в суд и что правительство вполне может получить доступ к средствам пользователей.
   Похоже, что только анонимная разработка аппаратных кошельков биткойна способна хоть как-то защититься от этой атаки. Хотя насколько это реально - судить не берусь. Всё-таки, это изделие нужно официально производить, продавать, платить налоги и т.д. По сути, на любом этапе компанию можно крутануть за яйца.
***

[satscraper]

   Похоже, что только анонимная разработка аппаратных кошельков биткойна способна хоть как-то защититься от этой атаки.

Достаточно перейти на air-gapped кошельки с открытым исходным кодом, который регулярно проверяется и перепроверяется крипто-сообществом.

Я перешёл на Passport 2 от Foundationdevices.

Тем кто не имеет такой возможности и продолжит использовать Леджер я бы советовал добавлять к своему СИД  в одновременном режиме пассворд фразу (one-time passphrase) с хорошей энтропией (128 достаточно)  или/и использовать мультисиг кошельки, одним из подписантов которых будет Леджер. Очень неплохим вариантом второго подписанта мог бы служить  програмный кошелёк Sparrow.

Хотя с одновременной  пассворд фразой тоже могут возникнут сомнения - действительно ли она стирается из BOLOS,  хранимой в энергонезависимой памяти SE, как это утверждает Леджер, или всё же она оставляет свой след.

Мультисиг однозначно лучше, чтобы избавиться от этих сомнений.

[The0ldl_lser]

.

Тем кто не имеет такой возможности и продолжит использовать Леджер я бы советовал добавлять к своему СИД  в одновременном режиме пассворд фразу (one-time passphrase) с хорошей энтропией (128 достаточно)...

...

а какой технически смысл еще что-то добавлять, если мастер-ключ уже у них? (Гипотетически, "от худшего" если исходить)
Эта контора уже скомпрометирована ИМХО

[satscraper]

.

Тем кто не имеет такой возможности и продолжит использовать Леджер я бы советовал добавлять к своему СИД  в одновременном режиме пассворд фразу (one-time passphrase) с хорошей энтропией (128 достаточно)...

...

а какой технически смысл еще что-то добавлять, если мастер-ключ уже у них? (Гипотетически, "от худшего" если исходить)
Эта контора уже скомпрометирована ИМХО

Технический смысл в том, что пассворд фраза изменит мастер-ключ, который у вас.  Если средства ещё у вас, вы сможете перевести их на новые порождённые адреса и продолжать пользоваться кошельком.

У тех, у кого гипотетически ваш старый мастер ключ, не останется другого выбора кроме как с помощью перебора найти вашу пассфразу.

Фраза с достаточной большой энтропией сделает их старания безуспешными.

Пока  я не знаю ни одного случая угона средств с помощью мастер-ключа, который гипотетически у них.

И я уже заострял внимание на том, что ,

с одновременной  пассворд фразой тоже могут возникнут сомнения - действительно ли она стирается из BOLOS,  хранимой в энергонезависимой памяти SE, как это утверждает Леджер, или всё же она оставляет свой след.

Мультисиг однозначно лучше, чтобы избавиться от этих сомнений.

Кстати можно  самому собрать криптокошелёк из имеющихся в продаже элементов.

Подобных проектов тьма. Specter-DIY один из них.

У него открытые исходники.

[The0ldl_lser]

.

У тех, у кого гипотетически ваш старый мастер ключ, не останется другого выбора как с помощью перебора найти вашу пассфразу.

Фраза с достаточной большой энтропией сделает их старания безуспешными.

Да ну я бы не ввязывался, а просто перевел все оттуда и выкинул этот "свисток" на помойку как отработанный материал
Где гарантия что они дальше еще чего похлеще не учудят?

[satscraper]

.

У тех, у кого гипотетически ваш старый мастер ключ, не останется другого выбора как с помощью перебора найти вашу пассфразу.

Фраза с достаточной большой энтропией сделает их старания безуспешными.

Да ну я бы не ввязывался, а просто перевел все оттуда и выкинул этот "свисток" на помойку как отработанный материал
Где гарантия что они дальше еще чего похлеще не учудят?

Хочется поспамить?

Чтобы продолжать сначала выкиньте свой (если он у вас есть, в чём я очень и очень  сомневаюсь исходя из вашего поста относительно мастер-ключа) с пруфом.

Я свой выкинул .

Пародоксальное для меня открытие: тема с  Леджером больше всего беспокоит тех, у кого его никогда не было.

[Polkat]

Тем кто не имеет такой возможности и продолжит использовать Леджер я бы советовал добавлять к своему СИД  в одновременном режиме пассворд фразу (one-time passphrase) с хорошей энтропией (128 достаточно)

128 битная энтропия будет примерно соответствовать количеству 27 - 28 строчных латинских букв ( 2¹²⁸ приблизительно равно 26²⁷ или 26²⁸ )
Вводить такое количество символов на Леджере двумя кнопками думаю врядли кто-то будет так как такой необходимости нет.

Специалисты из Трезор давно провели исследование на эту тему. Для тех кому лень это все читать и вникать в эту тему, в кратце поясню: там есть таблица, в которой указано примерная стоимость атаки, на парольные фразы различной длины, арендовав вычислительные сервера на Амазон. Далее делается вывод, что парольной фразы из 10 - 12 строчных букв более чем достаточно, а если использоваться не только строчные, но и заглавные буквы а также спец символы, то парольная фраза может быть еще короче.
Пишу я это все конечно не для специалиста по «кувалдированию» аппаратных кошельков, а для остальных участников форума.

[satscraper]

^

Нуба не слушать!

У кого кривые руки тому и 20 кнопок будет мало.

128 бит энтропии это оверкил, но лучше  оверкил чем взломанный кошелёк.

Множество бедолаг потеряли свои средства из-за слабых паролей.

Будь умнее чем они!

[Polkat]

Нуба не слушать!

У кого кривые руки тому и 20 кнопок будет мало.

128 бит энтропии это оверкил, но лучше  оверкил чем взломанный кошелёк.

Множество бедолаг потеряли свои средства из-за слабых паролей.

Будь умнее чем они!

Конечно для тебя «НУБ» не только я но и другие участники данного форума и даже специалисты из Трезор. Но чего ты так скромно пишешь про 128 бит? Писал бы уже про 256 или 512.
Это ведь еще безопаснее, а главное «удобнее» в повседневном использовании.
Пойди и расскажи сотрудникам Трезор, что парольная фраза в 12 символов слабая.

[Julien_Olynpic]

Сегодня натыкался на новость, что леджеровцы, под влиянием жёсткой критики от сообщества отменили спорную свою инициативу. Щас лень искать ссылки, но новость дуду цитировать, кому-нибудь да попадётся на глаза.
   Интересно другое: что сподвигло леджеровцев на такие странные "функции". Вроде разрабы знакомы с криптанским мировоззрением, объяснять им не надо.