Coldcard钱包中的漏洞可能允许通过社交工程窃取比特币

关键事实：

该漏洞利用了Coldcard对比特币沙箱的支持。

Coldcard开发人员承认该漏洞，但忽略了其重要性。

在CoinKite公司生产的比特币（BTC）硬件钱包Coldcard中检测到漏洞。 该故障可能导致用户当他们认为自己正在使用测试网时执行实际交易比特币。

该漏洞是由另一位硬件钱包制造商Shift Crypto的安全研究员Ben Ma发现的。 据他说，他于8月1日披露了CoinKite的漏洞，该公司的首席执行官Rodolfo Novak在第二天回答说他是正确的。

两家公司都同意在90天内不透露事实。 在这段时间之后，因为ColdCard没有实施最终解决方案，Shift Crypto鼓励该比特币钱包的用户采取适当的预防措施，

一种Beta模式的补丁已发布将于11月23日在某些Coldcard设备上进行测试。 根据专业媒体的报道，他们从CoinKite忽略了此漏洞的重要性。 据报道，他们说：“攻击者必须说服受害者手动将设备切换到测试网，而这是人们无法做到的。”

但是妈，你不这么认为。 他解释说，通过社会工程学，这样的攻击就可以实现。

作为硬件钱包的用户，您必须假设您的计算机已受到威胁。 首先，这就是使用硬件钱包的原因。 从那里开始，利用这种类型的攻击并非易事。

攻击者只需说服用户例如在沙盒上测试交易，或使用沙盒中的硬币或任何其他形式的社会工程学购买ICO，以使用户能够在沙盒上执行交易测试网。

Shift Crypto的安全研究员Ben Ma。

正如马云解释的那样，如果这样做，“在用户确认测试网上的交易后，攻击者将从主网上收到相同数量的比特币。” 由于该移动将作为testnet交易出现在用户的钱包中，因此他们将很难识别该错误。

Coldcard仅接受比特币，但这不能使其免受攻击

CriptoNoticias在2020年8月报告说，类似特征的漏洞已经被发现。在Ledger和Trezor钱包中检测到。在这些情况下，该裁决允许用户在进行源自BTC分支的加密货币交易（例如Litecoin（LTC），Bitcoin Cash（BCH）或DASH）时盗取比特币。

尽管ColdCard钱包仅接受比特币，但它也容易受到Ledger和Trezor容易受到的这类攻击。 资料来源：CriptoNoticias。

通过仅支持比特币，Coldcard被认为可以免受此类攻击。 诺瓦克当时说：“冷卡不支持狗屎币，我们认为这是最好的方法。”

如前所述，该漏洞还可以利用比特币测试网地址而Coldcard对此提供了支持。 这意味着以“超安全”方式出现的钱包无法抵抗这种攻击。

顾名思义，比特币测试网（或英语中的比特币测试网）是一种替代性的区块链，用于测试。 它是比特币的并行版本，具有自己的硬币，据说没有任何价值。 这些也必须开采，尽管这样做实际上是免费的。

—-

原文链接：https://www.criptonoticias.com/seguridad-bitcoin/vulnerabilidad-monedero-coldcard-permitiria-robar-bitcoins-ingenieria-social/

原文作者：globalcryptopress

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。