На домашней странице веб-сайта кошелька Bitfi трудно пропустить эти слова, приписываемые председателю компании Джону МакАфи: «Первое в мире невзламываемое хранилище для криптовалютных и цифровых активов». Но в сотый раз безопасность аппаратного кошелька была серьезно скомпрометирована. В последнем случае, описанном Hard Fork, исследователи безопасности из Pen Test Partners смогли отправить подписанные транзакции с использованием Bitfi, тем самым выполняя условие для получения премии по бонусной программе кошелька.
Три условия
По сравнению с первоначальной щедростью Bitfi, которая предлагала за первый взлом приз в $250 000, вторая награда была относительно скудной только в размере $10 000. Условия получения второй награды включают, среди прочего, изменение прошивки кошелька, а затем подключение к информационной панели Bitfi. Конечным условием, которое необходимо выполнить, является обеспечение того, чтобы секретная фраза пользователя или секретные ключи передавалась третьей стороне, при условии, что приборная панель Bitfi будет работать нормально. Команда Per Tierney смогла значительно изменить прошивку и, следовательно, перехватить связь между аппаратным устройством и кошельком. И чтобы доказать, что устройство все еще подключено к приборной панели и отлично работает, исследователи отображали сообщения на экране. Как сообщало CCN, устройство было настроенов начале этого месяца специалистом по информационной безопасности, который впоследствии обнаружил набор приложений, включающих GPS и Wi-Fi-трекеры. Это оказалось серьезной угрозой безопасности, поскольку приложения были открыты для подключения к различным веб-сервисам, включая китайский гигант онлайн-поиска Baidu. Менее чем через десять дней 15-летний Saleem Rashid, взломщик вундеркинд, смог установить приложение для игры Doom на устройство и сыграть в него. Это вызвало обеспокоенность тем, что, вследствие слабой защитой от несанкционированного доступа, злоумышленники могут легко установить вредоносное ПО, сделав его уязвимым для манипуляций. Кроме того, были опасения, что при доступе к корневому каталогу устройство может быть легко перепрограммировано. Реакция Bitfi на эту историю привела к ряду ошибок и плохой паблисити.
