Уязвимость микроконтроллеров угрожает безопасности криптовалютных кошельков

Эксперты Crypto Deep Tech предупреждают о серьезной угрозе, связанной с использованием популярного микроконтроллера ESP32, который внедряется в миллиарды IoT-устройств и криптокошельков. Выявленная ошибка, имеющая идентификатор CVE-2025-27840 в базе данных Национального института стандартов и технологий (NIST), открывает двери для киберпреступников, желающих украсть биткоины.

Уязвимость позволяет злоумышленникам перманентно заражать микроконтроллеры посредством обновления, что создает возможности для дальнейших атак. В случае успешного взлома злоумышленники получают возможность несанкционированно подписывать криптотранзакции и удаленно красть закрытые ключи, что ставит под угрозу безопасность владельцев криптовалют.

Дополнительной проблемой, на которую обратили внимание исследователи, является недостаточная энтропия генератора псевдослучайных чисел (PRNG) в аппаратных кошельках, таких как Blockstream Jade. Этот недостаток делает возможным метод прямого подбора пар ключей, что существенно повышает риск компрометации кошельков.

В своих экспериментах специалисты Crypto Deep Tech проверили различные векторы возможных атак, используя реальный кошелек с 10 BTC. Результаты их исследований показали, что с помощью выявленных уязвимостей злоумышленники могут:

• Генерировать недействительные закрытые ключи благодаря недостаткам PRNG.
• Подделывать биткоин-подписи из-за некорректного хеширования.
• Извлекать приватные ключи с помощью атак малых групп и манипуляций с криптографическими операциями ECC.
• Создавать фейковые открытые ключи, используя неоднозначности координаты Y на кривой ECC.

Специалисты Crypto Deep Tech подчеркивают важность внедрения надежных механизмов защиты и регулярных обновлений безопасности.

"Необходимость повышения уровня безопасности в устройствах и сетях, таких как ESP32, становится все более актуальной", — отметили они.

Учитывая растущее количество IoT-устройств и кошельков, зависимых от уязвимых микроконтроллеров, для пользователей криптовалют крайне важно оставаться в курсе последних угроз и всегда обеспечивать защиту своих цифровых активов.