NIST: Китайский чип*ESP32 позволяет хакерам быстрее красть криптовалюту

Эксперты по кибербезопасности Национального института стандартов и технологий США (NIST) заявили, что микроконтроллер ESP32, используемый в миллиардах устройств Интернета вещей (IoT), включая популярные аппаратные биткоин-кошельки, имеет критические уязвимости, ставящие под угрозу безопасность цифровых активов. По данным исследователей NIST, ошибка, обозначенная как CVE-2025-27840, позволяет злоумышленникам подделывать подписи транзакций и удаленно извлекать закрытые ключи, делая биткоин-кошельки и хранимые на них криптоактивы уязвимыми для кражи.

Чип ESP32, произведенный китайской компанией Espressif, широко применяется в устройствах вроде аппаратного кошелька Blockstream Jade и помогает при генерации подписей BTC-транзакций.

Уязвимость CVE-2025-27840 связана с 29 недокументированными командами HCI (Host Controller Interface) в Bluetooth-модуле чипа, которые могут быть использованы для атак, включая фальсификацию и подделку устройств, несанкционированный доступ к данным и даже компрометацию сети. Кроме того, генератор случайных чисел в ESP32 обладает недостаточной энтропией, что позволяет хакерам угадывать пары криптоключей методом перебора.

Китайский производитель чипов ESP32, компания Espressif признала проблему и наличие недокументированного функционала, но категорически отвергла наличие «бэкдора», сообщили представители NIST. В Espressif пообещали скоро выпустить обновление для устранения недокументированных команд.

Ранее группа исследователей из университетов США обнаружила уязвимость в устройствах Apple на базе процессоров M1, M2 и M3, которая позволяет злоумышленникам красть криптографические ключи, в том числе*от криптокошельков. Защититься от уязвимости невозможно и пользователям устройств на указанных процессорах доступно лишь удаление криптовалютного кошелька.*

Источник: Bits.media