仅限比特币的硬件钱包Coldcard已针对该漏洞发布了Beta固件补丁,该漏洞也于今年早些时候影响了竞争对手的硬件钱包。 在硬件钱包制造商Shift Crypto工作的安全研究员Ben Ma发现,Coldcard硬件钱包有一个缺陷:攻击者可能会以为诱骗Coldcard用户发送真实的比特币交易来诱使他们认为自己正在发送“测试网”交易–或比特币测试网络上的付款,该网络与主网不同。 不过,马云在其博客中写道,测试网和主网比特币交易“在幕后具有完全相同的交易表示”。 然后,攻击者可能会为硬件钱包生成比特币主网交易,但看起来像是测试网交易。 mainnet交易就像testnet交易一样在用户的钱包中显示,这使用户难以识别错误。 订阅我们每日更新的最新消息-Blockchain Bites。通过注册,您将收到有关CoinDesk产品的电子邮件,并且您同意我们的条款和条件以及隐私政策。 在一位匿名研究人员在法国制造的Ledger硬件钱包中发现了所谓的“隔离旁路”攻击之后,马云才知道了该漏洞。 与Coldcard不同,Ledger支持许多硬币,因此绕行攻击可能会通过诱骗钱包用户在打算发送litecoin和比特币现金(除了测试网BTC)时发送比特币来起作用。 “绕过”比特币钱包漏洞:背景 当披露Ledger钱包中的最初漏洞时,Coinkite创始人和Coldcard的创建者Rodolfo Novak说:“ Coldcard不支持任何狗屎币,我们认为这是最佳途径,”这表明他的纯比特币钱包将是安全的,因为该缺陷(部分)是由于Ledger设备以前使用相同的私钥管理不同的硬币。 由于Coldcard不支持多个硬币,因此从理论上讲应该不会出现此问题。 如果不是因为它也可以被比特币测试网地址利用,那就不会了。 如果用户的计算机受到威胁-他们的Coldcard设备已解锁并连接到该计算机-那么,当对手认为他们正在发送测试网比特币时,攻击者可能会诱使他们发送真实的比特币。 “攻击者只需说服用户进行例如“尝试测试网交易”或购买带有测试网币的ICO(我听说最近有这样的ICO)或任何数量的社交工程攻击就可以使用户执行测试网交易。 用户确认测试网交易后,攻击者将获得相同数量的主网比特币。”马云在帖子中写道。 由于发现攻击者可以远程执行此攻击,因此它符合Shift Crypto的标准,是一个关键问题,触发了负责任的披露流程。 根据该帖子,马云于8月4日披露了Coinkite的漏洞,第二天诺瓦克承认了这一漏洞。 11月23日,Coldcard发布了Beta版固件来修补此漏洞。 —- 原文链接:https://www.coindesk.com/coldcard-bitcoin-wallet-bypass-attack-trick-users 原文作者:Colin Harper 编译者/作者:wanbizu AI 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
Coldcard比特币钱包中的“绕过”攻击可能会诱骗用户发送不正确的资金
2020-11-26 wanbizu AI 来源:区块链网络
LOADING...
相关阅读:
- 像以太坊这样的较小资产在最近兴旺2020-11-26
- 美国交易商需要明确的监管规定,Coinbase突然终止保证金交易2020-11-26
- 法院裁定解除对比特币交换商Bestchange.ru聚合商的封锁2020-11-26
- Saifedean Ammous的“菲亚特标准” –比特币杂志2020-11-26
- 美国情报局长担心中国在加密货币中的主导地位2020-11-26