KEY:硬件钱包漏洞让攻击者无需接触设备即可获得加密赎金

最近发现的两个流行的硬件钱包中的漏洞使攻击者可以在不靠近设备的任何地方持有用户的加密货币进行勒索。

?ShiftCrypto,瑞士公司,制造商BitBox硬件钱包,已经公开了一种潜在的人在这中间攻击赎金的对手矢量Trezor和KeepKey硬件钱包。

名为Marko的ShiftCrypto开发人员在2020年春季发现了此漏洞,并分别在4月和5月通知Trezor和KeepKey团队。

火币生态链Heco宣布OneKey为生态合作硬件钱包:1月27日,火币生态链Heco宣布OneKey为生态合作硬件钱包,用户在参与Heco项目挖矿过程中,可以通过使用OneKey来增加资产的安全性,目前已有部分用户在参与Heco项目挖矿过程中开始使用OneKey。

火币生态链Heco全称为“Huobi ECO Chain”,是一个去中心化高效节能公链,也是火币开放平台推出的首个产品,旨在帮助开发者灵活高效地搭建去中心化应用。

OneKey在用户资产安全和体验上具有诸多优势,OneKey代码完全公开托管在Github上,任何人都可以检查或使用OneKey代码;OneKey底层使用了安全芯片(SE)和通用芯片来制作硬件钱包;通过OneKey创建的钱包助记词、Seed均加密存储在本地,只有用户自己能解密信息,加密资产完全由用户自己掌控。详情见原文链接。[2021/1/27 21:48:01]

?ShiftCrypto并不暗示已经进行了攻击,只是暗示可能进行攻击。CoinDesk与Trezor和KeepKey取得联系,询问攻击是否影响了他们的任何客户,但在发稿时都未收到任何回复。

Faast与Trezor硬件钱包整合 实现跨链交易:据bitcoin.com消息,Faast产品组合管理平台宣布与Trezor硬件钱包整合,并利用著名的硬件设备Ledger和Trezor实现了安全的跨链交易。意味着用户可以用ETH交换BTC,并以安全的方式交易各种ERC-20代币。[2018/5/30]

?Trezor已为其Model1和ModelT硬件钱包修复了该漏洞。根据ShiftCrypto团队的说法,KeepKey尚未修复,他说制造商引用了“更高优先级的项目”作为原因。

Radar Relay与Ledger“集成” 实现硬件钱包间ETH转账:去中心化虚拟货币交易平台Radar Relay在周三发布的一篇文章中宣布,该平台已经与Ledger合作,允许用户将ETH或基于ERC-20的虚拟货币直接转移到另一个Ledger钱包。这一举措十分值得注意,因为它标志着去中心化交易允许用户直接从一个硬件钱包转到另一个硬件钱包。[2018/1/19]

?假设的攻击涉及一个可选的密码,Trezor和KeepKey用户可以设置密码来代替通常的PIN码来解锁设备。这两个硬件钱包都需要与计算机或移动设备建立USB连接才能管理帐户。将硬件钱包插入另一台设备时,用户将密码输入到另一台设备中以访问前者。

?问题是Trezor和KeepKey都不会验证用户输入的密码。验证需要在钱包的屏幕上显示密码,以便用户确保密码与他们在计算机上键入的内容匹配。

?如果没有这种保护措施,中间人攻击者可能会通过将新的密码短语导入钱包来修改Trezor或KeepKey及其用户之间传递的信息。用户不会更明智,因为他或她无法检查设备上的密码是否与计算机屏幕上的密码匹配。

?输入旧密码后,用户将照常在计算机上打开硬件钱包的界面。但是,生成的每个地址都将受到黑客设置的新密码短语的控制,因此硬件钱包用户将无法花费锁定在这些地址中的资金。

?但是,攻击者无法访问这些地址,因为它们仍然是从钱包的种子短语派生而来的,因此只能被勒索。因此,即使黑客可以访问真实的密码短语,他或她也将需要种子短语或设备本身的访问权限。

?这种赎金攻击可以立即针对多个用户执行,并且多种加密货币可以同时被劫为人质。

?Trezor和KeepKey有过口角,在过去的漏洞,但所有这些要求的硬件钱包物理访问成功SANS一对夫妇例外。他们的竞争对手发现的那个通过允许假想的攻击者远程工作而破土动工。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

MEXCTPS:【2020.9.2 周三】数交所日报

币圈大事精选: 1.数交所已开启“94”特别纪念活动,来数交所玩合约,19400USDT大奖等你来拿,活动时间:9月2日10:00—9月4日15:00.

[0:15ms0-0:571ms