Популярный микроконтроллер ESP32, установленный в миллиардах устройств и аппаратных кошельках, оказался уязвимым для атак, способных привести к краже BTC и приватных ключей.
Критическая уязвимость ESP32: что произошло?
Исследователи по кибербезопасности обнаружили серьёзную уязвимость CVE-2025-27840 в микрочипе ESP32, активно используемом в устройствах Интернета вещей (IoT) и аппаратных биткоин-кошельках, таких как Blockstream Jade.
Уязвимость позволяет злоумышленникам:
- Подменять транзакции при обновлениях модулей
- Удалённо подписывать транзакции без разрешения
- Восстанавливать приватные ключи за счёт слабого генератора случайных чисел
Почему это угрожает пользователям биткоина?
Благодаря низкой энтропии в генерации ключей, злоумышленники могут применять метод подбора (brute force), чтобы вычислить закрытые ключи пользователей. Особенно подвержены риску устройства, использующие ESP32 для формирования подписи транзакций.
Компания Crypto Deep Tech доказала на практике возможность:
- Подделки цифровой подписи BTC-транзакции
- Извлечения приватного ключа с реального кошелька, где хранилось 10 BTC
Это ставит под сомнение безопасность даже самых популярных аппаратных кошельков, ранее считавшихся надёжными.
Масштаб проблемы: миллиарды уязвимых устройств
ESP32 используется в миллиардах устройств — от умных колонок до биткоин-кошельков. Таким образом, угроза имеет глобальный характер и потенциально может затронуть не только криптовалютных инвесторов, но и любые системы, где важна защита цифровой собственности.
Сейчас баг CVE-2025-27840 уже признан потенциальным каналом для атак со стороны государств. Некоторые эксперты заявляют, что проблема может быть использована в рамках кибершпионажа или массовых киберкампаний.
Как реагирует индустрия?
Разработчики аппаратных кошельков и специалисты по безопасности уже начали оценивать риски, а white hat-хакеры продолжают отвечать за этичное раскрытие уязвимости.
Пока не будет выпущено обновление микропрограммного обеспечения или замена аппаратной базы, пользователям рекомендуется:
- Хранить большие объёмы BTC на устройствах, не использующих ESP32
- Использовать мультиподпись и холодное хранение
- Следить за официальными обновлениями от производителей кошельков
Заключение
Уязвимость в ESP32 — тревожный сигнал для всей криптоиндустрии. Это ещё одно напоминание о том, что даже физические устройства могут стать слабым звеном в цепочке безопасности. Владельцам биткоинов и других цифровых активов стоит оперативно оценить риски и принять меры.