Alles over cryptogeld, in gewone mensentaal.
Een team van onderzoekers is een groot deel van dit jaar bezig geweest met het zoeken naar kwetsbaarheden in hardware wallets. Met succes. In een recent gepubliceerde presentatie schitteren de Trezor One, Ledger Nano S, en Ledger Blue.
In de presentatie leggen de drie onderzoekers uit op welke manier ze gezocht hebben naar kwetsbaarheden in de populaire hardware wallets. Ze vertellen over de (hardware) architectuur, en demonstreren kwetsbaarheden in hardware, software, en firmware. Voor de techneuten onder ons zeer de moeite waard om de hele presentatie (61 minuten) te bekijken.
Eén van de dingen die het team laat zien, is dat de private key van een Trezor One af te halen. Om dat te doen, hebben ze eigen firmware geschreven, en de bestaande daarmee vervangen. Je kunt je er overigens eenvoudig tegen wapenen: stel een wachtwoord in als aanvulling op de beveiliging.
Pavol Rusnak, CTO bij SatoshiLabs (het bedrijf achter Trezor), was niet op de hoogte van de bevindingen van de onderzoekers:
With regards to #35c3 findings about @Trezor: we were not informed via our Reponsible Disclosure program beforehands, so we learned about them from the stage. We need to take some time to fix these and we'll be addressing them via a firmware update at the end of January.
— stick⚡Pavol Rusnak @ 35c3 (@pavolrusnak) December 28, 2018
Ook de Ledger Nano S was onderwerp van gesprek. De hackers konden willekeurige firmware op het apparaat installeren, en demonstreerden dat door het spel Snake op de wallet te installeren. Eén van de teamleden vult aan:
“We kunnen malafide transacties naar de ST31 [de veilige chip] sturen en die transacties zelf bevestigen [met software]. Of we tonen simpelweg een andere transactie dan degene die op de achtergrond daadwerkelijk is uitgevoerd.”
In een reactie stelt Ledger dat de gevonden kwetsbaarheden niet kritiek zijn voor de veiligheid van de wallet. Mocht je nog wat tijd over hebben, zorg er dan voor dat je de presentatie even bekijkt. De manier waarop de onderzoekers de beveiliging van de Ledger Blue hebben omzeild, is gewoonweg heel gaaf om te zien!
Slechts weken na de lancering van eToro in Amerika heeft het bedrijf aangekondigd het Deense bedrijf Firmo over te nemen. Firmo is gespecialiseerd in het uitvoeren van financiële (smart) contracten. Wat zijn eToro’s plannen?
Rakuten, vaak de ‘Amazon van Japan’ genoemd, lanceert in april z’n eigen cryptocurrency exchange: Rakuten Wallet. De handelslicentie is binnen, en over een paar weken kan de handel starten. Twee zaken vallen op.
De KYC-procedures van Binance staan bekend als de ‘minst rigoreuze’ van de markt. Maar dat gaat veranderen. IdentityMind gaat de aan KYC en AML gerelateerde procedures van Binance aanscherpen. Wat zijn de plannen van Binance?
Op dinsdag heeft de centrale bank van Zuid-Korea een jaarverslag over 2018 naar buiten gebacht. Aan dat jaarverslag is ook een samenvatting toegevoegd van onderzoek naar CBDC’s door de centrale bank. Dit zijn de belangrijkste punten.
De aanvraag voor een beursnotering van Bitmain in Hongkong — groot geworden met de productie van mining-hardware — is verlopen en daarom voorlopig van de baan. Wat is er gebeurd met Bitmain?
Recent kwam een privacy-lek in MetaMask aan het licht. De extensie geeft alle ETH-adressen van de gebruiker door aan de websites die hij bezoekt. Het probleem wordt binnenkort opgelost, en zo kan jij er alvast omheen werken.
Wil je naar aanleiding van dit bericht verder praten? Heb je een vraag, een aanvulling, of had je het zelf anders geschreven? Laat het ons weten, en praat mee in onze community. Veel directer, én een stuk gezelliger dan zo'n ouderwets reactieformulier. De groep is actief, behulpzaam, en voor iedereen toegankelijk.
Wil je direct nieuwe blogposts lezen? Alle nieuwe publicaties plaatsen we op Twitter. Je kunt daar ook de belangrijkste ontwikkelingen volgen.
