蓝冠代理-蓝冠总代平台

招商主管Q374919
蓝冠总代平台

蓝冠总代硬件钱包漏洞让攻击者无需触碰设备就

蓝冠客户端

蓝冠官网,蓝冠测速代理


最近在两种流行的硬件钱包中发现了一个漏洞,该漏洞允许攻击者在不靠近设备的情况下持有用户的加密货币进行赎金。

  • 生产BitBox硬件钱包的瑞士公司ShiftCrypto透露了一个潜在的中间人赎金攻击载体,攻击对手Trezor和KeepKey硬件钱包。
  • 一个名为Marko的ShiftCrypto开发人员在2020年春天发现了这个漏洞,并在4月和5月分别通知了Trezor和KeepKey团队。Trezor的一位代表向CoinDesk证实,这种攻击“只是理论上的,从未在实践中实施过”。
  • ShiftCrypto并没有表示已经实施了攻击,蓝冠官网只是表示有可能进行攻击。
  • Trezor已经修复了Model One和Model T硬件钱包的漏洞。根据ShiftCrypto团队的说法,KeepKey(它是Trezor的分支或复制,因此运行着几乎相同的代码)还没有修复。该团队表示,制造商将原因归咎于“优先级较高的产品”。CoinDesk联系了KeepKey团队,询问他们为什么认为攻击向量的优先级很低,但在发稿前没有收到回复。
  • 这种假想的攻击包括一个可选的密码,Trezor和KeepKey用户可以通过设置这个密码来解锁他们的设备,而不是通常的PIN码。这两种硬件钱包都需要与计算机或移动设备连接USB来管理账户。当将硬件钱包插入另一个设备时,用户将向后者输入密码来访问前者。
  • 问题是Trezor和KeepKey都无法验证用户输入的密码。验证需要在钱包的屏幕上显示密码,这样用户就可以确保密码与他们在电脑上输入的密码相匹配。
  • 如果没有这种安全措施,中间人攻击者就可以通过在钱包中导入新的密码来修改Trezor或KeepKey与用户之间传递的信息。用户也不会知道,因为他或她无法检查设备上的密码是否与电脑屏幕上的匹配。
  • 在输入旧的密码后,用户将像往常一样打开计算机上的硬件钱包界面。然而,生成的每个地址都将由黑客设置的新密码控制,因此硬件钱包用户将无法使用锁定在这些地址中的资金。
  • 然而,攻击者将无法访问这些地址,因为它们仍然来自钱包的种子短语,蓝冠测速代理所以只能为索要赎金而持有。因此,即使黑客能够访问真正的密码短语,他或她也需要种子短语或访问设备本身。
  • 这种勒索攻击可以同时对多个用户执行,并且可以同时劫持多个加密货币。
  • Trezor和KeepKey过去也曾遭遇过安全漏洞,但除了少数例外情况,大多数都需要通过物理途径访问硬件钱包才能成功。他们的竞争对手发现了一个漏洞,允许假想的攻击者远程工作。

蓝冠总代

蓝冠|蓝冠代理-蓝冠总代平台,谢谢支持!

蓝冠总代平台