" Криптовалютная безопасность - это бомба замедленного действия. Обновляемая прошивка может стать той спичкой, которая подожжет фитиль.
Аппаратные кошельки стали святым граалем для самостоятельно хранения, надежной защитой от хакеров, мошенников и даже злоупотреблений со стороны правительства. Однако есть неудобная истина, которую большинство людей игнорирует: обновления прошивки - это не просто исправления для системы безопасности.
Это потенциальные лазейки, которые ждут, когда кто-нибудь - будь то хакер, разработчик-мошенник или сомнительная третья сторона - откроет их настежь.
Каждый раз, когда производитель аппаратных кошельков выпускает обновление, пользователи вынуждены делать выбор. В любом случае, нажимать на кнопку обновления и надеяться на лучшее или отказываться от обновления или использовать устаревшее программное обеспечение с неизвестными уязвимостями, - это рискованная игра.
В криптовалюте неудачная игра может означать пробуждение с пустым кошельком.
Обновления встроенного ПО не всегда помогают вам
Обновление встроенного ПО звучит как здравая мысль. Больше безопасности! Меньше ошибок! Улучшенный пользовательский опыт!
Дело в том, что каждое обновление - это возможность вмешаться в процесс не только для провайдера кошелька, но и для любого, у кого есть полномочия или мотивация.
Хакеры мечтают об уязвимостях в прошивке. Поспешное или плохо проверенное обновление может привести к появлению крошечных, почти незаметных недостатков, которые остаются на заднем плане, ожидая подходящего момента, чтобы истощить средства. И что самое приятное, - пользователи никогда не узнают, что их поразило.
Есть и более тревожная возможность: преднамеренные бэкдоры.
Технологические компании и раньше были вынуждены использовать средства слежки, утвержденные правительством. Почему кто-то думает, что производители аппаратных кошельков не имеют на это права? Если регулирующий орган - или, что еще хуже, преступная организация - захочет получить доступ к закрытым ключам, обновления встроенного ПО станут идеальным средством атаки. Одна скрытая функция. Одна замаскированная строка кода.
Этого достаточно. Все еще думаете, что обновления прошивки безвредны?
Уязвимости в прошивке уже используются
Это не какой-нибудь надуманный сценарий конца света. Это уже произошло.
В 2018 году компания Ledger, одна из крупнейших компаний в области криптовалютной безопасности, столкнулась с серьезным кризисом, когда исследователь безопасности Салим Рашид обнаружил уязвимость, которая позволяла злоумышленникам заменять встроенное ПО Ledger Nano и похищать закрытые ключи. Почти 1 миллион устройств были в опасности до того, как было выпущено исправление. Что самое страшное? У пользователей не было возможности узнать, были ли их устройства уже взломаны.
В 2023 году OneKey пережил аналогичный кошмар. Хакеры в белых шляпах продемонстрировали, что их прошивку можно взломать за считанные секунды. На этот раз шифрование не было потеряно. Но что, если бы настоящие злоумышленники первыми обнаружили уязвимость?
Затем появился эксплойт «Dark Skippy», который вывел атаки на основе встроенного ПО на совершенно новый уровень. Лишь с помощью двух подписанных транзакций хакеры могли извлечь всю исходную фразу пользователя, не вызвав ни единого сигнала тревоги. Если обновлениями встроенного ПО можно так легко манипулировать, как человек может быть уверен, что его активы в безопасности?
Скрытая цена обновляемой прошивки
Справедливости ради, не все обновления прошивки приводят к сбоям в системе безопасности. В настоящее время Ledger использует фирменную операционную систему и чипы secure element для дополнительной защиты. Trezor использует подход с открытым исходным кодом, который позволяет сообществу тщательно изучать ее прошивку. Coldcard и BitBox02 предоставляют пользователям возможность ручного управления обновлениями, снижая, но не устраняя риск.
Вот реальный вопрос: могут ли пользователи быть на 100% уверены, что обновление не приведет к фатальному сбою?
Некоторые кошельки решили полностью исключить этот риск. Tangem поставляется с фиксированной, не подлежащей обновлению прошивкой. Это означает, что ее код никогда не может быть изменен после того, как устройство покинет завод. Никаких обновлений. Никаких исправлений.
Конечно, у этого подхода есть свои недостатки. Если уязвимость обнаружена, исправить ее невозможно. Но в сфере безопасности важна предсказуемость.
Настоящая криптовалютная безопасность означает возвращение контроля над рынком
По состоянию на март 2025 года объем рынка криптовалют составлял 2,79 трлн долларов. При таких больших деньгах киберпреступники, инсайдеры-мошенники и правительства, которые злоупотребляют своими полномочиями, всегда ищут слабые места. Производители аппаратных кошельков должны уделять особое внимание безопасности.
Выбор аппаратного кошелька не должен походить на азартную игру с закрытыми ключами. Это не должно предполагать слепого доверия к способности корпорации ответственно продвигать обновления. Пользователи заслуживают большего, чем неопределенные заверения. Они заслуживают моделей безопасности, которые обеспечивают контроль там, где он должен быть, - у них самих.
Безопасность - это не удобство. Речь идет о контроле. Любая система, которая требует доверия неизвестным разработчикам, непрозрачных процессов обновления или прошивки, которую можно изменять по желанию, это не контроль. Это ответственность.
Единственный реальный способ обеспечить безопасность аппаратного кошелька, - это отказаться от догадок. Откажитесь от слепого доверия. Всегда изучайте опыт разработчиков, проверяйте их послужной список на предмет инцидентов с безопасностью и смотрите, как они справлялись с уязвимостями в прошлом. Придерживайтесь проверяемых фактов - безопасность никогда не должна основываться на предположениях.
Об авторе
Игорь Земцов - технический директор TBCC. TBCC вносит свой вклад в развитие блокчейн-экосистемы TON, создавая, запуская и продвигая новые токены и монеты.
Эта статья предназначена для общего ознакомления и не должна восприниматься как юридическая консультация или инвестиционный совет. Взгляды, мысли и суждения, выраженные в этой статье, принадлежат только автору.
