最近发现的两个流行的硬件钱包中的漏洞使攻击者可以在不靠近设备的任何地方持有用户的加密货币进行勒索。
?ShiftCrypto,瑞士公司,制造商BitBox硬件钱包,已经公开了一种潜在的人在这中间攻击赎金的对手矢量Trezor和KeepKey硬件钱包。
名为Marko的ShiftCrypto开发人员在2020年春季发现了此漏洞,并分别在4月和5月通知Trezor和KeepKey团队。
Jack Dorsey旗下Block比特币硬件钱包产品原型图流出:1月7日消息,Jack Dorsey旗下比特币公司Block透露会在“今年晚些时候”发布BTC硬件钱包,目前石头形状的产品原型图已经流出。根据Block硬件负责人Jesse Dorogusker透露,这些“石头”中会嵌入USB端口和指纹读取器,而且还会配套一款移动APP,让用户“安全地拥有和管理他们的比特币”。
Jack Dorsey此前在其社交媒体上暗示,这款硬件钱包的名称可能会叫“Rocky”,与史泰龙主演电影《洛奇》同名。[2023/1/7 10:59:40]
?ShiftCrypto并不暗示已经进行了攻击,只是暗示可能进行攻击。CoinDesk与Trezor和KeepKey取得联系,询问攻击是否影响了他们的任何客户,但在发稿时都未收到任何回复。
广电运通:公司具备数字人民币硬件钱包的设计和制造能力:金色财经消息,5月7日,投资者在投资者关系平台上提问,“贵司已具备数字人民币钱包的设计与制造能力了么?市场上包括已开通试点城市,有贵司设计制造的数字货币钱包么?”
广电运通表示,公司具备数字人民币硬件钱包的设计和制造能力,在广州、天津、上海等试点城市都有落地。(和讯股票)[2022/5/7 2:57:40]
?Trezor已为其Model1和ModelT硬件钱包修复了该漏洞。根据ShiftCrypto团队的说法,KeepKey尚未修复,他说制造商引用了“更高优先级的项目”作为原因。
美国内华达州居民假日最喜欢购买Ledger Nano比特币硬件钱包:据个人购物助手应用程序Earny在2017年11月1日至2018年2月1日期间利用超过1亿次网上购物的数据得出,比特币硬件钱包Ledger Nano是美国内华达州假日购物时,最喜欢购买的。[2018/4/4]
?假设的攻击涉及一个可选的密码,Trezor和KeepKey用户可以设置密码来代替通常的PIN码来解锁设备。这两个硬件钱包都需要与计算机或移动设备建立USB连接才能管理帐户。将硬件钱包插入另一台设备时,用户将密码输入到另一台设备中以访问前者。
?问题是Trezor和KeepKey都不会验证用户输入的密码。验证需要在钱包的屏幕上显示密码,以便用户确保密码与他们在计算机上键入的内容匹配。
?如果没有这种保护措施,中间人攻击者可能会通过将新的密码短语导入钱包来修改Trezor或KeepKey及其用户之间传递的信息。用户不会更明智,因为他或她无法检查设备上的密码是否与计算机屏幕上的密码匹配。
?输入旧密码后,用户将照常在计算机上打开硬件钱包的界面。但是,生成的每个地址都将受到黑客设置的新密码短语的控制,因此硬件钱包用户将无法花费锁定在这些地址中的资金。
?但是,攻击者无法访问这些地址,因为它们仍然是从钱包的种子短语派生而来的,因此只能被勒索。因此,即使黑客可以访问真实的密码短语,他或她也将需要种子短语或设备本身的访问权限。
?这种赎金攻击可以立即针对多个用户执行,并且多种加密货币可以同时被劫为人质。
?Trezor和KeepKey有过口角,在过去的漏洞,但所有这些要求的硬件钱包物理访问成功SANS一对夫妇例外。他们的竞争对手发现的那个通过允许假想的攻击者远程工作而破土动工。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。