失败可以永远锁定用户的加密货币

生产BitBox硬件钱包的瑞士公司ShiftCrypto透露了竞争对手硬件钱包Trezor和KeepKey中潜在的中间救援攻击媒介。

名为Marko的开发人员在2020年初发现了此漏洞。他分别于4月和5月通知Trezor和KeepKey团队。

该发现并不表明进行了攻击，仅表明存在可能性。 到目前为止，Trezor和Keepkey尚未响应，如果他们的客户受到影响。

Trezor表示已修复其Model One和Model T产品组合的漏洞，KeepKey并未进行更正。 根据ShiftCrypto团队的说法，该公司将对“高优先级项目”的担忧作为原因。

攻击允许在没有设备的情况下进行盗窃

假设的攻击涉及一个可选密码。 Trezor和KeepKey用户可以创建此密码来解锁设备，而不是通常的PIN码。

两种硬件产品组合都需要USB连接到计算机或移动设备来管理帐户。 连接硬件钱包时，用户键入密码以访问钱包。

问题是Trezor或KeepKey都不验证用户选择的密码。 验证将要求密码显示在钱包屏幕和计算机上。 这样，用户可以确认输入的密码实际上是正确的密码。

如果没有这种保护，攻击者就可以访问在钱包及其用户之间传输的信息。 因此，他可以将新密码导入钱包并可以使用资金。

用户不知道，因为他或她无法验证在设备上输入的密码是否与计算机屏幕上显示的密码相对应。

输入先前的长密码时，用户将照常打开计算机上的硬件钱包界面。 但是，每个生成的地址都将受到黑客设置的新密码的控制。

因此，加密资产的所有者无法花费它们。 他将有权查看资金，但无法将其移出钱包。 实际上，这等同于丢失密码。

计算的风险

攻击使攻击者可以阻止用户资金。 但是，黑客将无法访问这些地址以花费资金。

这是因为它们仍然是从投资组合的初始短语派生的。 因此，更改密码只会阻止访问。 黑客可以更改密码并要求赎金以自由使用资金，但他无法窃取它们。

因此，即使黑客可以访问实际的密码短语，他仍将需要种子短语或设备本身的访问权限。

这种抢救攻击可以同时针对多个用户进行，并且可以同时劫持几种加密货币。

Trezor和KeepKey过去在漏洞方面曾遇到过问题，但他们都需要对硬件产品组合进行物理访问才能成功，没有几个例外。 ShiftCrypto的发现具有创新性，因为不需要访问设备。

另请阅读：Banco24Horas可以从收银员处释放加密货币提款

另请阅读：分析师透露，DeFi代币将超越比特币和以太坊

另请阅读：币安在比特币崩溃期间下跌并伤害客户

—-

原文链接：https://www.criptofacil.com/trezor-keepkey-falha-pode-trancar-criptomoedas-usuarios-para-sempre/

原文作者：Luciano Rocha

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。