Что означают уязвимости Meltdown и Spectre для Криптo

Недавно обнаруженные компьютерные уязвимости Meltdown и Spectre служат еще одним напоминанием о том, насколько сложно в цифровую эпоху KEEP конфиденциальную информацию, даже закрытые ключи Криптовалюта , в безопасности.

Обнародованные в среду данные о широко распространенных уязвимостях оборудования одновременно затрагивают компьютерные чипы Intel, ARM и AMD, которые используются в подавляющем большинстве компьютеров, мобильных устройств и серверов в мире, что позволяет красть конфиденциальные данные, такие как пароли, финансовую информацию или практически все, что хранится на любом устройстве, использующем ONE из этих чипов.

Это особенно важно для Криптовалюта , поскольку хакеры потенциально могут использовать определенный вектор атаки, чтобы украсть закрытые ключи, которые позволяют пользователям контролировать свои биткоины в блокчейне.

Популярная механиканазвал это«ужасная» ошибка, утверждая, что «трудно сосредоточиться на самой тревожной части этого недостатка», в то время какинформационная страницаавторы замечают, что эта ошибка «несомненно» затронула вас.

И хотя нет никаких доказательств того, что какие-либо пароли были скомпрометированы, эксперты говорят, что T , если хакеры или АНБ воспользовались этой атакой.

Если вы уже следуете лучшим практикам хранения Криптовалюта , то, вероятно, все в порядке. Но если нет или вы новичок, эксперты говорят, что важно KEEP приватные ключи на безопасном устройстве.

«Лучше перестраховаться, чем потом сожалеть», — сказал разработчик Bitcoin CORE Брайан Бишоп в интервью CoinDesk, добавив:

«Злоумышленник, знающий о достаточно серьезной уязвимости, теоретически может заставить ваш процессор раскрыть Secret данные, такие как закрытые ключи, используемые для управления вашими Bitcoin».

Векторы атак

Важно отметить, что совет хранить закрытые ключи на защищенном устройстве не является чем-то новым. (Разработчики Криптo давно предостерегают от хранения закрытых ключей на ноутбуках или других устройствах, взаимодействующих с Интернетом.)

Но причины этого могут быть не очевидны для новых пользователей. Несмотря на то, что Bitcoin и другие криптовалюты являются защищенными протоколами, они должны взаимодействовать с открытым интернетом и обычными компьютерами. Короче говоря, хранение закрытых ключей так близко к интернету может потенциально подвергать пользователей взлому и краже.

А новые уязвимости ЦП еще больше ухудшают ситуацию, поскольку цепочка действий может привести к ошибке и компрометации.

«Если проблема защищенной памяти реальна, то плагин для браузера или даже веб-сайт могут получить доступ к вашим закрытым ключам», — сказал участник проекта Bitcoin CORE Йонас Шнелли.

Полные подробности проблемы пока T опубликованы, поэтому неясно, каковы точные векторы атак. Тем не менее, другие предположили, что подобное воздействие может быть вероятным.

«Чтобы подвергнуться этой атаке, вам достаточно случайно нажать на LINK , и вы, возможно, попадете на веб-сайт, на котором размещена вредоносная реклама с кодом вредоносного ПО, крадущего ваши данные», — добавил Бишоп.

И хотя эти сценарии могут показаться надуманными, большинство современных вредоносных программ используют похожие уязвимости, которые еще не исправлены. Просто невозможно знать, кого и когда они на самом деле ударят.

Теперь доступны исправления операционной системы, которые пользователи должны использовать для исправления своих устройств Windows, Mac и Linux. Но для пользователей Криптовалюта лучшим вариантом будет вообще не хранить закрытые ключи на подключенном к интернету устройстве, что было распространено задолго до этой конкретной уязвимости.

ONE из вариантов — хранить закрытые ключи на так называемом «аппаратном кошельке», например, Ledger или Trezor. Небольшие устройства могут быть не такими простыми в использовании, но они более безопасны, поскольку не подключены к Интернету.

Павол Руснак, технический директор SatoshiLabs, компании, стоящей за Trezor, зашел так далеко, чтоспорить «Использование [аппаратного] кошелька сейчас важнее, чем когда-либо!» В то время как разработчик Ethereum Лефтерис Карапетсас язвительно, «Я уверен, что Spectre и Meltdown — это лучшее, что могло случиться с бизнесом холодных Криптовалюта кошельков».

Обмен сокровищами

Помимо индивидуальных потребительских устройств, гораздо более крупной и вызывающей беспокойство целью являются Криптовалюта биржи и компании, которые хранят закрытые ключи Криптовалюта для миллионов пользователей одновременно.

Некоторые Криптовалюта биржи используют для работы своих веб-сайтов сервисы облачного хостинга, такие как Amazon Web Services и Google Cloud, вместо того, чтобы разворачивать собственные серверы.

Хотя эти платформы облегчают управление веб-сайтами, ониособенно уязвимы к этим атакам. Хакер теоретически может запустить сервер, используя то же оборудование, что и Криптовалюта стартап, работающий на такой облачной платформе, и внезапно получить доступ ко всем его данным.

В мире Криптo хакер гипотетически может использовать этот вектор атаки для кражи закрытых ключей.

С ONE стороны, многие из самых популярных облачных платформ быстро выпустили исправления. С другой стороны, исследователи опасаются, что глубоко укоренившиеся уязвимости могут породить неисправленные варианты с возможными затяжными эффектами.

Bitcoin в темнотеизображение через Shutterstock