В среду стало известно об обнаружении уязвимостей, которые затрагивают чипы Intel, ARM и AMD, использующиеся в большинстве компьютеров, мобильных устройств и серверов. С помощью этих уязвимостей злоумышленники могут получать доступ к различным данным, в том числе к паролям, финансовой информации и т.д.
Для держателей криптовалют эта новость имеет особое значение, поскольку помимо прочего хакеры могут украсть приватные ключи, использующиеся для управления биткоинами и другими цифровыми валютами в блокчейне.
Хотя на текущий момент никаких свидетельств кражи паролей или других данных нет, эксперты предполагают, что хакеры или Агентство национальной безопасности США (NSA) могут использовать эту уязвимость в собственных интересах.
Если вы соблюдаете необходимые меры предосторожности при работе с криптовалютами, то, скорее всего, беспокоиться вам не о чем. Если же нет или вы являетесь новым пользователем, эксперты рекомендуют переместить все приватные ключи на надёжное устройство.
«Лучше обезопаситься, чем сожалеть», - сказал разработчик Bitcoin Core Брайан Бишоп в разговоре с
CoinDesk. «Хакер, обладающий информацией о достаточно серьёзной уязвимости, в теории может заставить ваш процессор выдать секретные данные, такие как приватные ключи, необходимые для управления вашими биткоинами».
Здесь стоит отметить, что совет по хранению приватных ключах на надёжных устройствах – это не что-то новое. Разработчики давно не рекомендуют хранить приватные ключи на ноутбуках или других устройствах, подключенных к интернету.
Впрочем, новым пользователям это может быть не очевидно. Хотя биткоин и другие криптовалюты сами по себе являются защищёнными протоколами, они взаимодействуют с интернетом и другими компьютерами в нём. Новая уязвимость, обнаруженная в ряде процессоров, только усугубляет ситуацию.
«Если проблема с защитой памяти реальна, плагин для браузера или даже веб-сайт может получить доступ к вашим приватным ключам», - пояснил разработчик Bitcoin Core Джонас Шнелли.
Детали этой уязвимости пока неясны, поэтому нельзя сказать наверняка, что именно могут сделать хакеры, использующие её. В то же время многие эксперты соглашаются, что ущерб может быть невосполнимым.
«Чтобы стать жертвой, достаточно кликнуть по ссылке, которая перенесёт вас на сайт, содержащий злонамеренный код, который украдёт ваши данные», - добавил Бишоп.
Фиксы для операционных систем уже доступны в сети, поэтому владельцам устройств на базе Windows, macOS и Linux необходимо обновить их. Пользователям криптовалют, как и до обнаружения уязвимости, лучше вообще не хранить приватные ключи на устройствах, имеющих постоянное подключение к интернету.
Одним из вариантов безопасного хранения могут быть аппаратные кошельки, выпускаемые такими компаниями, как Ledger и Trezor. Возможно, эти устройства менее удобны в использовании, однако они более надёжны, поскольку не поддерживают соединение с интернетом.
Павол Руснак, технический директор SatoshiLabs, производителя кошельков Trezor, заявил: «Сейчас использовать аппаратный кошелёк важно, как никогда раньше!»
Разработчик Ethereum Лефтерис Карапетсас съязвил: «Готов поспорить, Spectre и Meltdown – это лучшее, что когда-либо происходило в бизнесе криптовалютных холодных кошельков».
Если с отдельными держателями криптовалют всё более-менее понятно, то биржи, хранящие приватные ключи миллионов пользователей, заслуживают особого внимания.
Такие биржи часто пользуются облачными сервисами, в том числе Amazon Web Services и Google Cloud, которые, как и их собственные сервера, могут быть взломаны хакерами. С другой стороны, большинство крупных сервисов уже обновило свою инфраструктуру,
с чем были связаны недавние перебои в обслуживании нескольких бирж.
Однако эксперты полагают, что в будущем могут обнаружиться
неисправленные или не до конца исправленные уязвимости, и поэтому не
советуют пользователям расслабляться.