硬件錢包漏洞讓攻擊者無需接觸設備即可獲得加密贖金_EPK:PKEX

最近發現的兩個流行的硬件錢包中的漏洞使攻擊者可以在不靠近設備的任何地方持有用戶的加密貨幣進行勒索。

?ShiftCrypto，瑞士公司，制造商BitBox硬件錢包，已經公開了一種潛在的人在這中間攻擊贖金的對手矢量Trezor和KeepKey硬件錢包。

名為Marko的ShiftCrypto開發人員在2020年春季發現了此漏洞，并分別在4月和5月通知Trezor和KeepKey團隊。

安全公司Unciphered聲稱曾破解硬件錢包Trezor:2月13日消息，針對“OneKey的加密錢包被安全公司被成功破解”相關推文，安全公司Unciphered回應稱，“OneKey已修復該漏洞。我們仍然破解了Trezor和其他硬件錢包。”

Unciphered披露Trezor相關漏洞的視頻發布于2022年8月。截至目前，硬件錢包Trezor未回應該推文。

據此前報道，安全公司Unciphered在YouTube視頻中披露硬件錢包OneKey的漏洞。黑客能夠通過利用該漏洞從OneKey Mini錢包中提取助記詞。Unciphered在與OneKey溝通后，通知其修復該漏洞。Unciphered表示，可以通過高速處理器FPGA利用硬件錢包的CPU和安全元件之間缺乏加密，攔截處理器和保存助記詞的安全元件之間的通信。

OneKey發文稱，在收到通知后已經立即修復漏洞并更新安全補丁，沒有造成任何損失。此外，OneKey向Unciphered支付一筆漏洞賞金。[2023/2/13 12:04:10]

?ShiftCrypto并不暗示已經進行了攻擊，只是暗示可能進行攻擊。CoinDesk與Trezor和KeepKey取得聯系，詢問攻擊是否影響了他們的任何客戶，但在發稿時都未收到任何回復。

Algorand與硬件錢包Ledger實現全面兼容:據官方消息，Algorand Inc.和Algorand基金會宣布已與硬件錢包Ledger Nano S和Nano X合作。Algorand鏈上包含Algo在內的所有通證資產，都可以通過Algorand移動錢包與上述兩個硬件錢包實現全面兼容。未來，任何在Algorand鏈上發行的通證資產也將自動獲得Ledger Nano X和Nano S的即時支持。此外這個版本還包含了安卓及IOS設備的Ledger Nano X藍牙連接功能。[2020/4/8]

?Trezor已為其Model1和ModelT硬件錢包修復了該漏洞。根據ShiftCrypto團隊的說法，KeepKey尚未修復，他說制造商引用了“更高優先級的項目”作為原因。

動態 | 飛天誠信：公司的硬件錢包產品可以保存比特幣、以太幣等數字貨幣:A股上市公司飛天誠信（300386）在董秘問答中表示：公司的硬件錢包產品“JuBiterBlade”可以保存比特幣、以太幣等數字貨幣。但是未來能否用于央行數字貨幣還不知道。[2019/9/25]

?假設的攻擊涉及一個可選的密碼，Trezor和KeepKey用戶可以設置密碼來代替通常的PIN碼來解鎖設備。這兩個硬件錢包都需要與計算機或移動設備建立USB連接才能管理帳戶。將硬件錢包插入另一臺設備時，用戶將密碼輸入到另一臺設備中以訪問前者。

?問題是Trezor和KeepKey都不會驗證用戶輸入的密碼。驗證需要在錢包的屏幕上顯示密碼，以便用戶確保密碼與他們在計算機上鍵入的內容匹配。

?如果沒有這種保護措施，中間人攻擊者可能會通過將新的密碼短語導入錢包來修改Trezor或KeepKey及其用戶之間傳遞的信息。用戶不會更明智，因為他或她無法檢查設備上的密碼是否與計算機屏幕上的密碼匹配。

?輸入舊密碼后，用戶將照常在計算機上打開硬件錢包的界面。但是，生成的每個地址都將受到黑客設置的新密碼短語的控制，因此硬件錢包用戶將無法花費鎖定在這些地址中的資金。

?但是，攻擊者無法訪問這些地址，因為它們仍然是從錢包的種子短語派生而來的，因此只能被勒索。因此，即使黑客可以訪問真實的密碼短語，他或她也將需要種子短語或設備本身的訪問權限。

?這種贖金攻擊可以立即針對多個用戶執行，并且多種加密貨幣可以同時被劫為人質。

?Trezor和KeepKey有過口角，在過去的漏洞，但所有這些要求的硬件錢包物理訪問成功SANS一對夫婦例外。他們的競爭對手發現的那個通過允許假想的攻擊者遠程工作而破土動工。

Tags：KEYZORPKEEPKimkey硬件錢包丟了咋辦zor幣私募PKEXepk幣價格今日行情

抹茶交易所