比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > SOL > Info

硬件錢包漏洞讓攻擊者無需接觸設備即可獲得加密贖金_KEY

Author:

Time:1900/1/1 0:00:00

最近發現的兩個流行的硬件錢包中的漏洞使攻擊者可以在不靠近設備的任何地方持有用戶的加密貨幣進行勒索。

?ShiftCrypto,瑞士公司,制造商BitBox硬件錢包,已經公開了一種潛在的人在這中間攻擊贖金的對手矢量Trezor和KeepKey硬件錢包。

名為Marko的ShiftCrypto開發人員在2020年春季發現了此漏洞,并分別在4月和5月通知Trezor和KeepKey團隊。

慢霧:Solana公鏈上發生大規模盜幣,建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所:8月3日消息,據慢霧區情報,Solana公鏈上發生大規模盜幣事件,大量用戶在不知情的情況下被轉移SOL和SPL代幣,慢霧安全團隊對此事件進行跟蹤分析:

已知攻擊者地址:

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV、CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu、5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n、GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

目前攻擊仍在進行,從交易特征上看,攻擊者在沒有使用攻擊合約的情況下,對賬號進行簽名轉賬,初步判斷是私鑰泄露。不少受害者反饋,他們使用過多種不同的錢包,以移動端錢包為主,我們推測可能問題出現在軟件供應鏈上。在新證據被發現前,我們建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所等相對安全的位置,等待事件分析結果。[2022/8/3 2:55:22]

?ShiftCrypto并不暗示已經進行了攻擊,只是暗示可能進行攻擊。CoinDesk與Trezor和KeepKey取得聯系,詢問攻擊是否影響了他們的任何客戶,但在發稿時都未收到任何回復。

京東正式開通數字人民幣“硬件錢包”線上消費功能:金色財經報道,京東 App?已正式開通數字人民幣“硬件錢包”線上消費功能,也成為了全國首個支持數字人民幣“硬件錢包”的線上消費場景。京東最新數據顯示,自 2022 年 1 月 4 日數字人民幣(試點版)App 正式上線以來,在此前京東線上累計已綁定子錢包超 200 萬個的較大基數上,京東日均新增推送子錢包的用戶數峰值增長超過 20 倍。[2022/1/22 9:06:17]

?Trezor已為其Model1和ModelT硬件錢包修復了該漏洞。根據ShiftCrypto團隊的說法,KeepKey尚未修復,他說制造商引用了“更高優先級的項目”作為原因。

動態 | 法國網絡安全機構向Ledger Nano S硬件錢包授予安全證書:據Cointelegraph消息,3月18日,法國國家網絡安全機構ANSSI向法國加密硬件錢包公司Ledger的Ledger Nano S頒發了一級安全證書(CPSN)。據悉,ANSSI自2018年6月1日開始,一共評估了261種產品,其中有122種通過了認證。評估范圍涵蓋“防火墻、身份識別、身份驗證和訪問、安全通信以及植入軟件”。[2019/3/18]

?假設的攻擊涉及一個可選的密碼,Trezor和KeepKey用戶可以設置密碼來代替通常的PIN碼來解鎖設備。這兩個硬件錢包都需要與計算機或移動設備建立USB連接才能管理帳戶。將硬件錢包插入另一臺設備時,用戶將密碼輸入到另一臺設備中以訪問前者。

?問題是Trezor和KeepKey都不會驗證用戶輸入的密碼。驗證需要在錢包的屏幕上顯示密碼,以便用戶確保密碼與他們在計算機上鍵入的內容匹配。

?如果沒有這種保護措施,中間人攻擊者可能會通過將新的密碼短語導入錢包來修改Trezor或KeepKey及其用戶之間傳遞的信息。用戶不會更明智,因為他或她無法檢查設備上的密碼是否與計算機屏幕上的密碼匹配。

?輸入舊密碼后,用戶將照常在計算機上打開硬件錢包的界面。但是,生成的每個地址都將受到黑客設置的新密碼短語的控制,因此硬件錢包用戶將無法花費鎖定在這些地址中的資金。

?但是,攻擊者無法訪問這些地址,因為它們仍然是從錢包的種子短語派生而來的,因此只能被勒索。因此,即使黑客可以訪問真實的密碼短語,他或她也將需要種子短語或設備本身的訪問權限。

?這種贖金攻擊可以立即針對多個用戶執行,并且多種加密貨幣可以同時被劫為人質。

?Trezor和KeepKey有過口角,在過去的漏洞,但所有這些要求的硬件錢包物理訪問成功SANS一對夫婦例外。他們的競爭對手發現的那個通過允許假想的攻擊者遠程工作而破土動工。

Tags:KEYKEEPZORKEETURKEY幣Bitkeep官方下載RAZOR幣bitkeep下載安裝

SOL
BKEX Global 關于META(mStable)代幣名稱調整說明的公告_BAL

親愛的BKEXer: BKEXGlobal已將相同名稱的代幣MTA下架,?現將META代幣名稱恢復為MTA,請各位用戶知悉.

1900/1/1 0:00:00
Gate.io Startup上線非首發項目TON Community Blockchain(TON)認購規則公告_TON

關于“Startup非首發上線通道”Gate.io正式上線“Startup非首發上線通道”,針對已經在主流交易平臺上線的發展穩定有潛力的區塊鏈項目,提供更為快捷的上幣通道.

1900/1/1 0:00:00
BitGo將為日本的Bitgate提供冷存儲加密支持_AAVE

日本加密貨幣交易所Bitgate很快將通過美國監管的信托公司BitGo向客戶提供冷藏服務,以滿足當地金融監管機構制定的新法律要求.

1900/1/1 0:00:00
霍比特交易所關于9月2日上線DIA、ANKR聚合交易幣對的公告_TPS

尊敬的社區用戶:霍比特交易所將于2020年9月2日22:00上線DIA/USDT、ANKR/USDT聚合交易對.

1900/1/1 0:00:00
數據顯示:目前流動性仍然充足,難以復制3月的流動性擠兌_BTC

北京時間9月4日8點,反映加密貨幣市場整體走勢的ChaiNext100指數報992.91點,過去24小時下跌13.67%,成交額773.73億美元,成交較前24小時增加8.09%.

1900/1/1 0:00:00
墨菲言幣:9.2ETH午間行情分析 緩慢下行 是誘空還是真空_CRE

各位朋友們,你們好,我是墨菲言幣。墨菲本著負責、誠懇、認真的態度用心寫好每一篇分析文章,特點鮮明,不夸張,不含糊,力求能讓大家看懂大的趨勢分析以及小范圍的多空搏殺力度!:4小時來看,價格連續攻破.

1900/1/1 0:00:00
ads