Мнение: Игоря Земцова, главного технического директора TBCC
Безопасность криптовалют — это настоящая тикающая бомба. Обновляемое прошиваемое программное обеспечение может стать тем самым запалом.
Аппаратные кошельки стали священным граалем самохранения, абсолютной защитой от хакеров, мошенников и даже государственного произвола. Однако есть неудобная правда, которую большинство людей игнорирует: обновления прошиваемого программного обеспечения — это не просто патчи безопасности.
Это потенциальные бэкдоры, ожидающие, когда кто-то — будь то хакер, недобросовестный разработчик или сомнительная третья сторона — распахнет их настежь.
Каждый раз, когда производитель аппаратного кошелька выпускает обновление, пользователи вынуждены делать выбор. Нажать кнопку обновления и надеяться на лучшее или отказаться от обновления и рисковать использованием устаревшего программного обеспечения с неизвестными уязвимостями. В любом случае, это азартная игра.
В криптовалюте плохая ставка может означать просыпаться и обнаруживать пустой кошелек.
Обновления прошиваемого программного обеспечения не всегда идут на пользу
Обновление прошиваемого программного обеспечения звучит как здравая логика: больше безопасности! Меньше ошибок! Улучшенный пользовательский опыт!
Вот в чем дело: каждое обновление — это не только возможность для поставщика кошелька, но и для любого, у кого есть сила или мотивация, чтобы вмешиваться в процесс.
Хакеры мечтают об уязвимостях прошиваемого программного обеспечения. Поспешное или плохо проверенное обновление может ввести крошечные, почти незаметные дефекты — те, что сидят на заднем плане, ожидая подходящего момента, чтобы опустошить средства. И лучший из бонусов? Пользователи никогда не узнают, что произошло.
Затем есть еще более тревожная возможность: преднамеренные бэкдоры.
_ Недавнее: Компания Ledger, производитель аппаратных кошельков, помогает конкуренту Trezor устранить уязвимость безопасности
Технологические компании были вынуждены включать правительственные инструменты слежки ранее. Что заставляет думать, что производители аппаратных кошельков — исключение? Если регулирующий орган — или, что еще хуже, преступная организация — хочет получить доступ к закрытым ключам, обновления прошиваемого программного обеспечения — идеальный вектор атаки. Одна скрытая функция. Одна замаскированная строка кода.
Этого достаточно. Все еще думаете, что обновления прошиваемого программного обеспечения безвредны?
Уязвимости прошиваемого программного обеспечения уже используются
Это не нечто далекое, апокалиптическое событие. В прошлом уже были случаи, когда их использовали. В 2019 года компания Ledger, производитель аппаратных кошельков, помогала конкуренту Trezor устранить уязвимость безопасности. Продемонстрированный случай показал, что не все, что кажется безопасным, таковым является.
Реальная безопасность криптовалют означает возвращение контроля
Рынок криптовалют оценивался в 2,79 триллиона долларов по состоянию на март 2025 года. С такой суммой денег на кону киберпреступники, недобросовестные инсайдеры и узурпирующие правительства всегда ищут слабые места. Производители аппаратных кошельков должны быть сосредоточены на безопасности.
Выбор аппаратного кошелька не должен ощущаться как игра в рулетку с закрытыми ключами. Это не должно предполагать слепого доверия к способности корпорации ответственно выпускать обновления. Пользователи заслуживают большего, чем расплывчатые заверения. Они заслуживают моделей безопасности, которые ставят контроль там, где он должен быть — с ними.
Безопасность — это не удобство. Это контроль. Любая система, требующая доверия к неизвестным разработчикам, непрозрачным процессам обновления или прошиваемому программному обеспечению, которое можно изменять по желанию? Это не контроль. Это — уязвимость.
Единственный реальный способ защитить аппаратный кошелек? Избавьтесь от догадок. Устраните слепое доверие. Всегда изучайте предысторию разработчиков, проверяйте их послужной список инцидентов безопасности и узнайте, как они справлялись с прошлыми уязвимостями. Придерживайтесь проверяемых фактов — безопасность никогда не должна основываться на предположениях.
_ Мнение: Игоря Земцова, главного технического директора TBCC._
Эта статья предназначена только для общеинформационных целей и не является и не должна рассматриваться как юридическая или инвестиционная консультация. Мнения, мысли и убеждения, выраженные здесь, принадлежат исключительно автору и не обязательно отражают мнения и убеждения Cointelegraph.
