Компания Bitfi признала уязвимость своего «неуязвимого» кошелька

Как сообщалось ранее, в конце июля компания Bitfi и Джон Макафи объявили о создании принципиально неуязвимого аппаратного криптовалютного кошелька. Макафи заявил, что выплатит любому исследователю, сумевшему взломать устройство, 100 тысяч долларов – тут же добавив, что это никогда не произойдет. Компания Bitfi пошла еще дальше, установив премию в 250 тысяч долларов за успешный взлом.

Учитывая скверную репутацию, которую Джон Макафи старательно зарабатывал себе в последние годы, специалисты по кибербезопасности отнеслись к акции Bitfi скептически, отметив, что она куда больше напоминает рекламную кампанию, чем программу премирования за обнаруженные уязвимости. Тем не менее, многие исследователи приняли вызов. И уже с начала августа сообщения о все новых уязвимостях кошелька Bitfi появлялись едва ли не каждую неделю. Дошло до того, что исследователи запускали на дисплее устройства видеоролики с участием Макафи и игру DOOM. Однако Макафи и Bitfi упрямо отказывались признавать все найденные проблемы уязвимостями. В результате кошельку Bitfi была присуждена анти-премия сообщества специалистов по информационной безопасности Pwnie (аналог кинематографической «Золотой малины»): за самую наглядную демонстрацию неверного понимания слова «уязвимость».

И все же очередная атака на Bitfi стала последней каплей. Исследователь Салим Рашид сумел извлечь из памяти устройства задаваемые пользователем кодовую фразу и значение «соли» – строки, добавляемой к ней при хешировании. Это означает, что он получил доступ к секретному ключу, защищающему средства в кошельке. Представители Bitfi вынуждены были признать успех атаки. Они заявили, что отказываются от использования слова «неуязвимый» применительно к своему устройству и примут все меры для ликвидации выявленных проблем. При этом обещанное вознаграждение так и не выплачено, компания объявила, что выступит с «исчерпывающим заявлением» на этот счет на следующей неделе. Джон Макафи предпочитает пока хранить молчание.