Группа хакеров сумела проникнуть в аппаратный криптовалютный кошелек OneKey и получила за это вознаграждение в размере $10 000 от производителя этой продукции. Затем хакеры выложили на YouTube видео, в котором показали, как они это сделали.
Создатель криптовалютного устройства хранения OneKey из Гонконга рекламирует свой продукт как «кошелек с открытым исходным кодом, которому доверяют миллионы». В сентябре прошлого года стартап привлек около 20 миллионов долларов в раунде финансирования, проведенном компаниями Dragonfly, Ribbit Capital и Coinbase Ventures.
Хакеры Unciphered смогли обмануть устройство, заставив его поверить, что оно не было вывезено с завода. В результате им удалось узнать начальную фразу (пароль) кошелька. Для этого требовалось иметь физический доступ к устройству и быть высококвалифицированным специалистом в технических вопросах.
Иши Ванг, основатель компании OneKey, подтвердил, что их устройство было взломано, и заявил, что они уже выпустили обновление, исправляющее этот недостаток. Более того, «белые хакеры» — люди, которые обнаруживают ошибки и сообщают о них разработчикам — получили от OneKey вознаграждение в размере 10 000 долларов в качестве благодарности за помощь в поиске недостатков безопасности.
Эрик Мишо, основатель компании Unciphered, отметил, что владельцы аппаратных кошельков особенно часто становятся мишенью преступников из-за огромного количества цифровых активов, хранящихся на них. Он также подчеркнул, что аппаратные кошельки могут обеспечить определенную степень защиты от злоумышленников. Старые устройства, которые не были обновлены пользователям или больше не поддерживаются производителем, могут быть уязвимы.
Когда криптоактивы взламываются и крадутся, хакеры, участвующие в такой деятельности и получившие клеймо «белых», могут рассчитывать на вознаграждение в размере около 10% от похищенного. Примером тому может служить август прошлого года, когда блокчейн-мост Nomad позволил киберпреступнику, удравшему с цифровой валютой на сумму 190 миллионов долларов, оставить себе 19 миллионов долларов.
Многие криптовалютные компании также заранее устанавливают размер вознаграждения, которое будет выдано пользователям, обнаружившим какие-либо недостатки или неполадки в системе. Самая большая сумма, которую команда протокола Arbitrum установила за обнаружение ошибки, составила около 2 миллионов долларов. В августе 2022 года Riptide, «белый» хакер, получил от разработчиков только 400 ETH (оценивавшихся тогда в $531 тыс.) после того, как обнаружил существенную ошибку в коде. Недовольный этой суммой, он заявил, что такая «недоплата» может привести к тому, что «белые» хакеры станут еще и «черными» хакерами.
