Ledger Donjon виявив уразливість MediaTek, яка дозволяє витягувати фрази сидів гаманця Android за менше ніж 45 секунд, що впливає на мільйони пристроїв. CVE-2025-20435.
Ledger Donjon виявив серйозну уразливість MediaTek. Вона дозволяє зловмисникам витягувати фрази сидів гаманця з Android-телефонів за кілька секунд. Телефон навіть не потрібно вмикати.
Чарльз Гійєме, який публікує під ніком @P3b7_ у X, опублікував ці дані публічно. Він підтвердив, що @DonjonLedger знову виявив серйозну вразливість. За словами Гійєме у X, дані користувачів, включаючи PIN-коди та фрази сидів, можна витягнути менш ніж за хвилину, навіть з вимкненого пристрою.
Масштаб тут важливий. Мільйони Android-пристроїв працюють на процесорах MediaTek. Також у цій уразливості задіяно Trusted Execution Environment Trustonic.
Ваш телефон вимкнений — тепер це не має значення
Як повідомив Гійєме у X, команда Ledger Donjon підключила Nothing CMF Phone 1 до ноутбука. За 45 секунд зникла базова безпека телефону. Ніяких складних налаштувань. Ніякого спеціального обладнання. Лише підключення до ноутбука і таймер.
Рекомендуємо прочитати: Загрози криптовалютної безпеки швидко зростають у 2026 році
Злом навіть не торкнувся Android. Як повідомив Гійєме у X, атака автоматично відновила PIN-код, розшифрувала сховище пристрою і витягла фрази сидів із найпопулярніших програмних гаманців. Все це сталося до завантаження операційної системи.
Це не маленька прогалина. Це структурна несправність.
Проблема архітектури чипів, яку ніхто не хотів визнавати
Чипи загального призначення жертвують безпекою заради швидкості та зручності. Гійєме прямо зазначив це у своїй треді у X. Спеціальний Secure Element тримає секрети ізольованими від всього іншого на пристрої. Чипи MediaTek зроблені не так. Trustonic’s TEE розміщений всередині того ж чипа, що й щоденні задачі. Фізичний доступ руйнує цю межу.
Це не перший раз, коли дослідники ставлять під сумнів безпеку смартфонів для крипто користувачів. Це знову повертається до однієї й тієї ж архітектурної прогалини. Зручність проти безпеки. Вони не однакові.
Відповідальне розкриття, потім виправлення
Ledger Donjon не оприлюднив цю інформацію без попередження. Як підтвердив Гійєме у X, команда дотримувалася строгого процесу відповідального розкриття з усіма відповідними виробниками. MediaTek підтвердив, що надіслав виправлення OEM 5 січня 2026 року. Уразливість тепер офіційно зареєстрована як CVE-2025-20435.
Обов’язково до прочитання: Ledger розглядає вихід на біржу у Нью-Йорку через зростання зломів криптовалютних гаманців
OEM отримали виправлення. Чи дійшли ці патчі до кінцевих користувачів — це зовсім інше питання. Фрагментація Android — реальна проблема. Старі пристрої від менших виробників часто залишаються без оновлень місяцями.
Чому постраждали програмні гаманці
Фрази сидів, збережені у програмному гаманці, живуть всередині пристрою. Вони залежать цілком від безпеки чипа під ним. Коли цей чип виходить з ладу, виходить з ладу все вище.
Гійєме у своєму треді у X чітко пояснив мотив. Дослідження не було зроблено для створення страху. Це зроблено для того, щоб індустрія могла виправити уразливість до того, як зловмисники встигнуть. Цей вікно вже закрите, принаймні для цієї конкретної вразливості.
Пов’язане: Крос-платформенні гаманці стають важчими для виявлення
Програмні гаманці на Android завжди мали цей ризик. Уразливість MediaTek просто надала цьому числове підтвердження. Чотири п’яті секунд. Саме стільки знадобилося.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
AI16Z, ELIZAOS: авторів позивають через звинувачення у шахрайстві на $2,6 млрд; обвал токенів на 99,9% від піку
Федеральний колективний позов звинувачує AI16Z/ELIZAOS у криптовому шахрайстві на $2,6 млрд через фейкові твердження про ШІ та оманливий маркетинг, стверджуючи внутрішні преференції та інсценовану автономну систему; вимагає відшкодування збитків за законами про захист прав споживачів.
Анотація: Цей звіт охоплює федеральний колективний позов у SDNY, поданий 21 квітня, що звинувачує AI16Z та його перейменування ELIZAOS у криптовому шахрайстві на $2,6 млрд із використанням фейкових заяв про ШІ та оманливого маркетингу. У справі стверджується про змодельований зв’язок із Andreessen Horowitz та про неавтономну систему. У ній описано пікову оцінку на початку 2025 року, обвал на 99,9% та приблизно 4 000 гаманців, що зазнали збитків, при цьому інсайдери отримували близько 40% нових токенів. Позивачі вимагають відшкодування збитків і справедливого (еквітного) захисту за законами Нью-Йорка та Каліфорнії про захист прав споживачів. Регулятори в Кореї та великі біржі попереджали або призупиняли пов’язану торгівлю.
GateNews1год тому
Повідомлення від SlowMist: Активне шкідливе ПЗ macOS MacSync Stealer, що націлене на користувачів криптовалюти
SlowMist попереджає про MacSync Stealer (v1.1.2) для macOS, який викрадає гаманці, облікові дані, зв’язки ключів (keychains) і ключі інфраструктури, використовуючи підроблені підказки AppleScript та фейкові повідомлення про «unsupported»; закликає до обережності й обізнаності щодо IOCs.
Анотація: Цей звіт підсумовує сповіщення SlowMist про MacSync Stealer (v1.1.2) — інформаційного викрадача для macOS, який націлений на криптовалютні гаманці, облікові дані браузера, системні keychains та ключі інфраструктури (SSH, AWS, Kubernetes). Він вводить користувачів в оману, показуючи підроблені діалоги AppleScript із запитами паролів та видимими фейковими повідомленнями «unsupported». SlowMist надає IOCs своїм клієнтам і радить уникати неперевірених скриптів для macOS та залишатися пильними щодо незвичних підказок пароля.
GateNews2год тому
Північнокорейська група Lazarus розгортає шкідливий застосунок Mach-O Man для викрадення облікових даних криптогаманців у користувачів macOS
Lazarus випускає Mach-O Man для macOS, щоб викрадати дані зв’язки ключів і облікові дані гаманця, націлюючись на крипто-виконавців через спливаючі вікна ClickFix та скомпрометовані зустрічі в Telegram.
Анотація: У статті повідомляється, що пов’язаний із Lazarus шкідливий застосунок Mach-O Man націлюється на macOS, щоб ексфільтрувати дані зв’язки ключів, облікові дані браузера та сеанси входу для доступу до криптовалютних гаманців і облікових записів бірж. Поширення ґрунтується на соціальній інженерії ClickFix та скомпрометованих облікових записах Telegram, які спрямовують жертв на підробні посилання на зустрічі. Матеріал пов’язує операцію з хаком Kelp DAO від 20 квітня та ідентифікує TraderTraitor як організацію, що афілійована з Lazarus, відзначаючи переміщення rsETH між блокчейнами за стандартом OFT платформи LayerZero.
GateNews2год тому
ZachXBT попереджає проти банкомату Bitcoin Depot із націнкою понад 44% до ціни біткоїна
ZachXBT попереджає, що банкомати Bitcoin Depot встановлюють завищені премії — $25k фіат за $108k/BTC проти ~$75k ринку (приблизно 44%), що призводить до ~ втрати $7,5k на 0,232 BTC; також зазначає про інцидент із порушенням безпеки на $3,26M.
Ця стаття узагальнює попередження ZachXBT щодо цінової практики Bitcoin Depot і нещодавнього порушення безпеки, підкреслюючи ризики для користувачів від завищених тарифів і збоїв у безпеці.
GateNews4год тому
Протокол приватності Umbra вимикає фронтенд, щоб заблокувати атакувальників від відмивання викрадених коштів Kelp
Повідомлення Gate News, 22 квітня — Протокол приватності Umbra вимкнув свій фронтенд-сайт, щоб не допустити атакувальників до використання протоколу для переказу вкрадених коштів після недавніх атак, зокрема інциденту з протоколом Kelp, який призвів до втрат понад $280 мільйонів. Близько $800,000 у викрадених коштах були переказані через Umbra,
GateNews6год тому
Slow Mist 23pds Попередження: Lazarus Group опублікувала новий набір інструментів для macOS, орієнтований на криптовалюти
Лукінь, головний директор з інформаційної безпеки Slow Mist 23pds, 22 квітня опублікував попередження, в якому заявив, що хакерська група Північної Кореї Lazarus Group випустила новий нативний шкідливий набір інструментів для macOS «Mach-O Man», спеціально націлений на криптовалютну індустрію та керівників високої цінності.
MarketWhisper7год тому
