Deze bitcoin hardware wallet van KeepKey is binnen 15 minuten gekraakt

Kraken Security heeft de hardware wallet KeepKey aan een uitgebreide test onderworpen en de resultaten zijn best schokkend te noemen. Binnen één kwartiertje had men toegang tot iemands bitcoin (BTC) of andere cryptovaluta. De onderzoekers adviseren de fabrikant: stop met de productie hiervan.

Bitcoin en hardware wallet

Hardware wallets zijn bedoeld om iemands bitcoin (BTC) of andere cryptovaluta veilig op te slaan. Daarmee heb je namelijk zelfbeschikking over je private keys, feitelijk een ‘entreeticket’ om je bitcoin te versturen.

Koop gemakkelijk en snel Bitcoin bij Bitvavo. Ga aan de slag en betaal geen handelskosten voor je eerste aankoop tot €1.000 !

Diverse fabrikanten spelen op die behoefte in zoals Ledger, Trezor, maar ook KeepKey, wat onderdeel is van Shapeshift van Erik Voorhees.

Kraken Security Labs heeft de hardware wallet van KeepKey uitgebreid onder de loep genomen en de resultaten liegen er niet om. Zo komen er een aantal kritische bugs uit de test naar voren.

Zoals je weet genereert een hardwarewallet een seed phrase, een unieke serie van 12, 18 of 24 woorden om de wallet te versleutelen.

Deze zogenaamde SEED mnemonic keyphrase is feitelijk je ‘herstelwachtwoord’. Stel dat je je wallet verliest, dan kun je met de seeds een tweede wallet weer ‘activeren’ om bij je bitcoins te kunnen.

Je bitcoin veilig opslaan? Bezoek de website van Ledger!

Kraken legt bugs bloot

De onderzoekers van Kraken Security hebben de KeepKey aan zogenaamde ‘glitch test’ onderworpen. Een ‘glitch’ is nog géén software bug, maar als kort moment van kwetsbaarheid in een ‘digitaal circuit’.

Op het onderstaande plaatje de setup waarmee de onderzoekers te werk gingen.

Deze bitcoin hardware wallet van KeepKey is binnen 15 minuten gekraakt

Via de bovenstaande apparatuur is getracht om kunstmatig ‘glitches’ te veroorzaken in de software van de KeepKey. Het opmerkelijke is dat men binnen één kwartier toegang kreeg tot het apparaat.

Volgens de onderzoekers kan elk technisch onderlegd persoon met de juiste voorbereiding en apparatuur deze kraak voor elkaar krijgen. Een apparaatje om de KeepKey te laten ‘glitchen’ zou slechts 75 dollar kosten.

Wat kun je met een SEED phrase? Je kunt vervolgens een andere KeepKey kopen en via de seed phrase de bitcoins op het nieuwe apparaat zetten.

Kwetsbaarheid nummer twee is dat het ook relatief eenvoudig was om het wachtwoord van de hardware wallet te achterhalen. Zo kun je inloggen op de KeepKey met een wachtwoord tussen de 1 en 9 cijfers en géén andere karakters dus.

Volgens de onderzoekers kan een beetje hackers met de juiste ‘brute force’ software het wachtwoord blootleggen. Via brute force probeert een hacker verschillende combinaties inlognamen- en wachtwoorden totdat er uiteindelijk de juiste combinatie is gevonden.

Een citaat uit het onderzoek:

[penci_blockquote style=”style-2″ align=”none” author=””]“Moreover, since the encryption key is directly derived from the user’s PIN, the keyspace is small, especially for 4 digit PINs.

Hence, the encryption key can be brute-forced in a fraction of a second on any modern PC, allowing an attacker to recover the unencrypted PIN and cryptographic seed.”[/penci_blockquote]

Microcontroller KeepKey

Bovendien blijkt dat de microcontroller van het hardware apparaat niet goed functioneert. Zo konden de Kraken-onderzoekers het laadmechanisme van de controller beïnvloeden.

Conclusie: zoals de KeepKey nu is ontworpen is ruim onvoldoende. Sterker, de onderzoekers adviseren om productie van deze wallets stop te zetten en het apparaat opnieuw te ontwerpen.

Kraken heeft hierop de makers achter de KeepKey gewaarschuwd voor de ontdekte bugs. Deze waarschuwing ging al uit op 11 september (!), maar nu geven de onderzoekers meer details vrij van de bugs.

In deze uitgebreide post van Kraken staan alle technische details zeer uitgebreid beschreven. Het hele idee van een hardware wallet is namelijk: zodra deze gestolen wordt, moet een aanvaller niet bij de cryptovaluta kunnen.

Bitcoin kopen? Dan kun je terecht bij Bitcoin Meester!

Seed phrases opslaan

De seed phrases die een hardware wallet genereert is op diverse manieren op te slaan. Een gebruikelijke manier is de woorden op een papiertje zetten en deze in een brandwerende kluis opslaan. Of men huurt een kluis bij een bank.

Een nog veilige oplossing is om je phrase op een fysiek apparaat op te slaan. Dat kan bijvoorbeeld een Cryptotag zijn, een Nederlandse fabrikant, of bijvoorbeeld een Cryptosteel, die goed uit de test komt van veiligheidsexpert Jameson Lopp.

Lopp concludeert na een uitgebreide test: het apparaat moet van staal zijn, zo meldde hij onlangs op Twitter.

Meest gelezen

Nieuws
Bitcoin koers breekt door $35.000, ligt $48.000 in het verschiet?

Bitcoin is de afgelopen 24 uur door de $35.000 grens gebroken. Analisten anticiperen op een...

Nieuws
Apple-Gebruikers Opgelet: Hackers Hebben Het Gemunt op Je Crypto

Nieuwe malware gericht op Apple's MacOS, vermoedelijk gelinkt aan de Noord-Koreaanse hackersgroep Lazarus, heeft blockchain-ingenieurs...

Nieuws
Goedemorgen Bitcoin: Hayes voorspelt bitcoin koers van 1 miljoen dollar

Goedemorgen! We hebben het laatste nieuws voor je op een rij gezet. Begin de dag...

Nieuws
Solana Bulls Razen Vooruit, Ligt $50 In Het Verschiet?

Cryptomunt Solana heeft opmerkelijke veerkracht getoond op zijn bullish koers, ondanks kleine tegenvallers in het...

Nieuws
De beste en meest interessante afleveringen van de Hup Bitcoin podcast

In het afgelopen jaar hebben we in totaal meer dan 70 afleveringen van onze Hup...

Lees meer

Net binnen

Ethereum whale Nieuws
$185 Miljoen in 72 Uur: Ethereum Ziet Mega Investering door Mysterieuze Crypto Whale!

Een opvallende crypto whale, geïdentificeerd door het blockchain analysebedrijf Spot On Chain als 0x7a9, heeft...

Nieuws
2 redenen voor bitcoin koers van $69.000 dollar voor de halving

Bitcoin heeft de neiging om in aanloop naar de halving met 30 procent te stijgen...

Nieuws
Goedemorgen Bitcoin: afperser van Nederlandse ondernemers veroordeeld

Goedemorgen! We hebben het laatste nieuws voor je op een rij gezet. Begin de dag...

cardano koers Nieuws
Arthur Hayes haalt uit naar Cardano: ‘Het is een shitcoin, een wannabe Ethereum’

Arthur Hayes, medeoprichter van BitMEX, heeft onlangs felle kritiek geuit op Cardano (ADA), door het...

Bitcoin whales Nieuws
Whale koopt binnen 2 weken voor $178 miljoen aan ethereum

Een onbekende whale heeft in 11 dagen tijd de gigantische hoeveelheid van 64.000 ethereum uit...

Lees meer