Plačiai naudojamas mikrokontroleris, montuojamas milijarduose IoT įrenginių, turi rimtą saugumo spragą, dėl kurios kyla grėsmė Bitcoin vagystėms.
Ši klaida – kritinė saugumo spraga CVE-2025-27840 – paveikia populiarų ESP32 lustą. Ji leidžia įsilaužėliams išnaudoti modulio atnaujinimus tam, kad būtų galima pasirašyti neautorizuotas transakcijas arba net nuotoliniu būdu pavogti privačius raktus.
ESP32, naudojamas ir tokiose hardware piniginėse kaip Blockstream Jade, kurios generuoja BTC transakcijų parašus, taip pat pasižymi nepakankamu atsitiktinių skaičių generatoriaus entropijos lygiu. Tai reiškia, kad anoniminiai įsilaužėliai gali bandyti atspėti raktų poras brutalia jėga (brute force metodu).
Kibernetinio saugumo tyrimų įmonė Crypto Deep Tech jau pademonstravo galimybę suklastoti transakcijų parašus naudojant netinkamą šio lusto ‘flawed message hashing’, taip pat išgauti privačius raktus iš mikroschemos.
Iš tiesų, „white hat“ (geriečiai) įsilaužėliai iššifravo realios piniginės, kurioje buvo 10 BTC, privatų raktą.
Pažeistas mikroschemos ESP32 lustas kelia grėsmę Bitcoin piniginėms
Bitcoin turėtojai ir bendrovės visame pasaulyje rimtai vertina šią saugumo spragą. Šis lustas turi ne tik ilgo sąrašo pažeidžiamumų, bet ir yra jau įdiegtas milijarduose įrenginių visame pasaulyje.
Deja, ESP32 silpnybės jau yra fiziškai įdiegtos daugybėje tinklų, kurie saugo vertybes – įskaitant BTC, privačius duomenis bei kitą kompiuteriu apsaugotą nuosavybę. Todėl ši klaida tampa vis aktualesnė tarp kibernetinio saugumo specialistų.
Kol kas white hat tyrėjai tęsia atsakingą spragos atskleidimą (responsible disclosure) ir jau pažymėjo šią klaidą kaip galimą priemonę valstybiniu lygiu vykdomai vagystei.
