Trezor钱包已针对漏洞进行了更新，该漏洞允许劫持比特币

关键事实：

通过此更新，改进了针对可能的攻击的密码管理。

KeepKey钱包也很容易受到攻击。 它的创建者不致力于解决方案。

比特币Trezor硬件钱包的新固件更新可消除与设备密码管理相关的漏洞。 此漏洞影响称为“ word 25”的附加密码，从而使钱包遭受资金劫持。

此漏洞基于Trezor系统不需要在设备上确认此密码当用户输入以将钱包与计算机同步时。 在9月2日由Marko Bencun发表的一篇文章中对此进行了说明，他发现了该错误。

除了Trezor用作种子的24个单词之外，此密码是可选的安全因素。 它的使用是可选的，可用于隐藏资金。 启用单词25时，将激活一种机制，通过该机制，每次输入错误的单词都会创建一个新地址，该地址显示为好像是钱包的主要地址。

Bencum是制造BitBox钱包的团队的一员，他指出，攻击者可能会干扰钱包和计算机之间共享的数据，从而阻止用户访问其其他密码。 而且由于Trezor不会要求您进行确认，因此用户将无法注意到某些工作不正确。 它只会出现在新钱包的前面，而不会反映其在比特币中的余额。

在9月2日发布的更新中，Trezor团队向钱包中的用户添加了密码确认请求。 现在，钱包屏幕将显示一条带有密码的消息，并要求在使用前进行验证。

现在，Trezor设备在连接到计算机时会在其屏幕上显示密码确认。 来源：Trezor / blog.trezor.io Trezor漏洞不允许直接访问比特币

由于存在该漏洞，潜在的攻击者可以“运行服务器，每次用户解锁钱包时，恶意钱包都会从该服务器获取错误的密码”。 这样，它可以防止用户使用他们的资金访问地址，然后索要赎金。

开发人员补充说：“没有密码短语，如果没有攻击者的合作，用户将无法重新获得对硬币的控制。”开发人员在去年4月通知Trezor有关此错误。

攻击者只能阻止获取资金，但是由于该附加密码已加密，因此它无法直接访问BTC。 否则，您可以将比特币发送到您想要的任何地址，而不是劫持。

Bencum声称已经成功地尝试了攻击，将Trezor与计算机上的Electrum钱包相连。 完成后，Trezor和桌面界面均可以顺利加载，并且“用户无法知道正在进行的攻击。”

SatoshiLabs（Trezor的幕后公司）解释说，该更新涵盖了Trezor One和Trezor T设备，尽管这不是强制性的，但制造商建议其客户更新其设备。

另一个比特币钱包暴露而未采取任何行动

Bencum暴露的漏洞不仅影响Trezor钱包。 另外，来自Shapeshift交易所的KeepKey设备也存在同样的资金劫持风险。

然而，在KeepKey中，没有立即关注纠正错误。Bencum说他一直“定期与KeepKey代表联系”。 该公司告诉他，“他们尚未提出开发解决方案，表明他们正在首先开发优先级更高的产品，” Bencum在他的出版物中说。

就Trezor而言，此更新是在今年6月之后进行的，他们还必须纠正漏洞暴露了用户的资金。 在这种情况下，正如我们在CriptoNoticias中报道的那样，由于3月发现的SegWit事务管理错误，他们更新了设备的固件。

—-

原文链接：https://www.criptonoticias.com/seguridad-bitcoin/monedero-trezor-actualiza-vulnerabilidad-permite-secuestro-bitcoins/

原文作者：globalcryptopress

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。