Deze bitcoin hardware wallet van KeepKey is binnen 15 minuten gekraakt
Kraken Security heeft de hardware wallet KeepKey aan een uitgebreide test onderworpen en de resultaten zijn best schokkend te noemen. Binnen één kwartiertje had men toegang tot iemands bitcoin (BTC) of andere cryptovaluta. De onderzoekers adviseren de fabrikant: stop met de productie hiervan.
Bitcoin en hardware wallet
Hardware wallets zijn bedoeld om iemands bitcoin (BTC) of andere cryptovaluta veilig op te slaan. Daarmee heb je namelijk zelfbeschikking over je private keys, feitelijk een ‘entreeticket’ om je bitcoin te versturen.
Diverse fabrikanten spelen op die behoefte in zoals Ledger, Trezor, maar ook KeepKey, wat onderdeel is van Shapeshift van Erik Voorhees.
Kraken Security Labs heeft de hardware wallet van KeepKey uitgebreid onder de loep genomen en de resultaten liegen er niet om. Zo komen er een aantal kritische bugs uit de test naar voren.
Zoals je weet genereert een hardwarewallet een seed phrase, een unieke serie van 12, 18 of 24 woorden om de wallet te versleutelen.
Deze zogenaamde SEED mnemonic keyphrase is feitelijk je ‘herstelwachtwoord’. Stel dat je je wallet verliest, dan kun je met de seeds een tweede wallet weer ‘activeren’ om bij je bitcoins te kunnen.
Je bitcoin veilig opslaan? Bezoek de website van Ledger!
Kraken legt bugs bloot
De onderzoekers van Kraken Security hebben de KeepKey aan zogenaamde ‘glitch test’ onderworpen. Een ‘glitch’ is nog géén software bug, maar als kort moment van kwetsbaarheid in een ‘digitaal circuit’.
Op het onderstaande plaatje de setup waarmee de onderzoekers te werk gingen.
Via de bovenstaande apparatuur is getracht om kunstmatig ‘glitches’ te veroorzaken in de software van de KeepKey. Het opmerkelijke is dat men binnen één kwartier toegang kreeg tot het apparaat.
Volgens de onderzoekers kan elk technisch onderlegd persoon met de juiste voorbereiding en apparatuur deze kraak voor elkaar krijgen. Een apparaatje om de KeepKey te laten ‘glitchen’ zou slechts 75 dollar kosten.
Wat kun je met een SEED phrase? Je kunt vervolgens een andere KeepKey kopen en via de seed phrase de bitcoins op het nieuwe apparaat zetten.
Kwetsbaarheid nummer twee is dat het ook relatief eenvoudig was om het wachtwoord van de hardware wallet te achterhalen. Zo kun je inloggen op de KeepKey met een wachtwoord tussen de 1 en 9 cijfers en géén andere karakters dus.
Volgens de onderzoekers kan een beetje hackers met de juiste ‘brute force’ software het wachtwoord blootleggen. Via brute force probeert een hacker verschillende combinaties inlognamen- en wachtwoorden totdat er uiteindelijk de juiste combinatie is gevonden.
Een citaat uit het onderzoek:
[penci_blockquote style=”style-2″ align=”none” author=””]“Moreover, since the encryption key is directly derived from the user’s PIN, the keyspace is small, especially for 4 digit PINs.
Hence, the encryption key can be brute-forced in a fraction of a second on any modern PC, allowing an attacker to recover the unencrypted PIN and cryptographic seed.”[/penci_blockquote]
Microcontroller KeepKey
Bovendien blijkt dat de microcontroller van het hardware apparaat niet goed functioneert. Zo konden de Kraken-onderzoekers het laadmechanisme van de controller beïnvloeden.
Conclusie: zoals de KeepKey nu is ontworpen is ruim onvoldoende. Sterker, de onderzoekers adviseren om productie van deze wallets stop te zetten en het apparaat opnieuw te ontwerpen.
Kraken heeft hierop de makers achter de KeepKey gewaarschuwd voor de ontdekte bugs. Deze waarschuwing ging al uit op 11 september (!), maar nu geven de onderzoekers meer details vrij van de bugs.
In deze uitgebreide post van Kraken staan alle technische details zeer uitgebreid beschreven. Het hele idee van een hardware wallet is namelijk: zodra deze gestolen wordt, moet een aanvaller niet bij de cryptovaluta kunnen.
Bitcoin kopen? Dan kun je terecht bij Bitcoin Meester!
Seed phrases opslaan
De seed phrases die een hardware wallet genereert is op diverse manieren op te slaan. Een gebruikelijke manier is de woorden op een papiertje zetten en deze in een brandwerende kluis opslaan. Of men huurt een kluis bij een bank.
Een nog veilige oplossing is om je phrase op een fysiek apparaat op te slaan. Dat kan bijvoorbeeld een Cryptotag zijn, een Nederlandse fabrikant, of bijvoorbeeld een Cryptosteel, die goed uit de test komt van veiligheidsexpert Jameson Lopp.
Lopp concludeert na een uitgebreide test: het apparaat moet van staal zijn, zo meldde hij onlangs op Twitter.
12 cold storage devices enter, 6 devices leave. https://t.co/A4ZaSeqATO
— Jameson Lopp (@lopp) December 7, 2019
