Kriittinen tietoturva-aukko herättää huolta kryptoyhteisössä, erityisesti vaikuttaen Bitcoin-lompakoihin, jotka käyttävät China ESP32 -siruja.
Tämä virhe aiheuttaa merkittävän riskin kauppiaille. Se voi mahdollisesti johtaa yksityisten avainten varkauteen ja vaarantaa miljoonien dollarien digitaaliset omaisuusvarat maailmanlaajuisesti.
Bitcoin-lompakot vaarassa ESP32-sirun kanssa
ESP32-sirun on valmistanut Espressif Systems, johtava kiinalainen teknologiayritys. Sen kustannustehokkuuden ja mukautuvuuden ansiosta se on saanut laajan käyttöönoton erilaisissa laitteistolompakoissa, jotka on suunniteltu suojaamaan Bitcoinia (BTC) ja muita kryptovaluuttoja.
Myös Blockstream Jade Plus -lompakon laitteisto on integroinut uuden ESP32-S3-sirun, joka on tarkoitettu saumattomaan toimintaan.
Suosiostaan huolimatta kyberturvallisuuden asiantuntijat ovat löytäneet vakavan haavoittuvuuden, joka on tunnistettu nimellä CVE-2025-27840. Tämä haavoittuvuus mahdollistaa hakkereiden ohittaa turvaprotokollat ja saada haltuunsa yksityiset avaimet. Toinen kriittinen Crypto-MCP -virhe voi antaa hakkereille mahdollisuuden paljastaa siemenlausekkeita tai ohjata lohkoketjutapahtumia ilman käyttäjän havaitsemista.
Crypto Deep Techin perusteellisen analyysin mukaan tämä haavoittuvuus mahdollistaa hyökkääjien väärentää ECDSA-allekirjoituksia. Tämän jälkeen hakkerit voivat helpottaa luvattomia tapahtumia, joita käyttäjät eivät voi havaita.
“Hyökkääjät voivat käyttää erilaisia menetelmiä saadakseen pääsyn Bitcoin-lompakoiden yksityisiin avaintietoihin ESP32:n kautta,” varoitti Crypto Deep Tech varoituksessaan.
Reaali-maailman testissä tutkijat onnistuivat hyödyntämään tätä haavoittuvuutta päästäkseen Bitcoin-lompakkoon, jossa oli 10 BTC, mikä korostaa merkittävien taloudellisten tappioiden mahdollisuutta. Sirun Bluetooth- ja Wi-Fi-yhteydet pahentavat riskiä, sillä ne mahdollistavat hakkereiden haitallisten päivitysten käyttöönoton ja arkaluontoisten tietojen etäpoiminnan. Tämä huoli on erityisen akuutti Electrum-pohjaisille lompakoille.
Tämän haavoittuvuuden seuraukset ulottuvat yksittäisiä sijoittajia pidemmälle, herättäen laajempia huolia kattavasta verkon turvallisuudesta. Asiantuntijat varoittavat, että se voi mahdollistaa valtion tukemat vakoilukampanjat ja koordinoidut varkaustoimet, jotka kohdistuvat ESP32:een riippuvaisiin laitteisiin.
Tämän virheen löytyminen on herättänyt keskustelua kiinalaisvalmisteisten komponenttien luotettavuudesta kriittisessä rahoitusinfrastruktuurissa.
“En käyttäisi ESP32-pohjaisia laitteistolompakoita yksittäisiin allekirjoituksiin,” varoitti X-käyttäjä nvk
Mitään tiettyjä lompakkomalleja ei ole laajasti tunnistettu vaikuttuneiksi toistaiseksi. Siitä huolimatta valmistajien painostus tarjota läpinäkyvyyttä ja paljastaa vaikuttaneet tuotteet kasvaa yhä kiireellisemmäksi riskien lieventämiseksi ja käyttäjien suojelemiseksi.
Vastuuvapauslauseke
Kaikki verkkosivustollamme olevat tiedot julkaistaan vilpittömässä mielessä ja ainoastaan yleiseen tiedottamiseen. Lukijan on toimittava verkkosivustomme tietojen perusteella täysin omalla vastuullaan.