最近发现的两个流行的硬件钱包中的漏洞使攻击者可以在不靠近设备的任何地方持有用户的加密货币进行勒索。 瑞士制造BitBox硬件钱包的公司ShiftCrypto披露了对竞争对手Trezor和KeepKey硬件钱包的潜在中间人勒索攻击媒介。 名为Marko的ShiftCrypto开发人员在2020年春季发现了此漏洞,并分别在4月和5月通知Trezor和Ledger团队。 ShiftCrypto并不暗示已经进行了攻击,只是暗示可能进行攻击。 CoinDesk与Trezor和KeepKey取得联系,询问攻击是否影响了他们的任何客户,但在发稿时都未收到任何回复。 Trezor已为其Model 1和Model T硬件钱包修复了该漏洞。 ShiftCrypto团队表示,KeepKey(Trezor的一个分叉或副本,因此运行几乎相同的代码)尚未修复,他说制造商引用“较高优先级的项目”作为原因。 假设的攻击涉及一个可选的密码,Trezor和KeepKey用户可以设置密码来代替通常的PIN码来解锁设备。 这两个硬件钱包都需要与计算机或移动设备建立USB连接才能管理帐户。 将硬件钱包插入另一台设备时,用户将密码输入到另一台设备中以访问前者。 问题是Trezor和KeepKey都不会验证用户输入的密码。 验证需要在钱包的屏幕上显示密码,以便用户确保密码与他们在计算机上键入的内容匹配。 如果没有这种保护措施,中间人攻击者可能会通过将新的密码短语导入钱包来修改Trezor或KeepKey及其用户之间传递的信息。 用户不会更明智,因为他或她无法检查设备上的密码是否与计算机屏幕上的密码匹配。 输入旧密码后,用户将照常在计算机上打开硬件钱包的界面。 但是,生成的每个地址都将受到黑客设置的新密码短语的控制,因此硬件钱包用户将无法花费锁定在这些地址中的资金。 但是,攻击者无法访问这些地址,因为它们仍然是从钱包的种子短语派生而来的,因此只能被勒索。 因此,即使黑客可以访问真实的密码短语,他或她也将需要种子短语或设备本身的访问权限。 这种赎金攻击可以立即针对多个用户执行,并且多种加密货币可以同时被劫为人质。 Trezor和KeepKey过去曾遇到过漏洞,但所有这些都需要对硬件钱包的物理访问才能成功。 他们的竞争对手发现的那个通过允许假想的攻击者远程工作而破土动工。
—- 原文链接:https://www.coindesk.com/trezor-keepkey-wallets-attack 原文作者:Colin Harper 编译者/作者:wanbizu AI 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
硬件钱包漏洞让攻击者无需接触设备即可获得加密赎金
2020-09-03 wanbizu AI 来源:区块链网络
LOADING...
相关阅读:
- 币安和Coinbase挣扎时,加密市场崩溃2020-09-03
- DeFi将在币安峰会上讨论2020-09-03
- 警察占领了Bithumb韩国加密股票市场2020-09-03
- 加密钱包MetaMask现在将在iOS,Android上可用2020-09-03
- 只要他们捍卫一些关键水平,比特币公牛就能保持完全控制2020-09-03