Coinkite会隐瞒其钱包容易受到远程攻击

比特币（BTC）硬件钱包的制造商Coinkite将在其Coldcard模型中隐藏三个月的远程攻击漏洞。 Nunchuk的开发人员Hugo Nguyen注意到了这一点。 和Shift Crypto钱包公司（BitBox02）的“ Benma”。

程序员于2020年11月7日向Coinkite发出了警报，但直到2021年2月9日，该公司才发布版本3.2.2的固件更新。 根据“ Benma”的说法，Coinkite接受了该信息，并同意允许两个开发人员在2月发表有关这种情况的文章，昨天发生了这种情况。

“当在Coldcard上注册多签名钱包时，Coldcard不会验证它是否实际上是多签名钱包的一部分。 这允许计算机上的恶意钱包用攻击者“ Benma”控制的xpubs替换多签名的xpubs（扩展的公共密钥）。

程序员补充说，然后可以随时将在该多重签名钱包中接收的所有加密货币转移到攻击者的钱包中。

xpub只是扩展的公共密钥，也称为主公共密钥。 这使用户能够生成无数个地址，而无需访问私钥。 当涉及多重签名时，要求所有参与者的xpub生成地址。

如果在受感染的计算机上使用钱包，则攻击者可以分发假的xpubs。 如果钱包是3的multisig 2，则该钱包可以提供两个由攻击者控制的xpub，这意味着潜在的资金被盗。

勒索软件攻击案例也可能发生在配置了N个N个多重签名（例如2个，2个，3个3个或4个4个）的钱包中。 如果一个xpubs由攻击者控制，另一个由所有者控制，则要求黑客参与以释放比特币。

“ Benma”强调的一个方面是Coinkite花了一些时间启动更新，以最大程度地降低遭受攻击的风险。 关于创建多签名钱包，开发人员回顾：

创建多签名钱包时，正确验证每个共同签名者的xpub至关重要。 否则，您可能会遭受远程盗窃或勒索软件攻击（…）。当Coldcard在配置钱包时加载多签名描述文件时，应该完全验证该文件的内容。 最重要的是，您必须验证它是否是multisig的一部分，换句话说：您拥有列出的xpubs之一。

根据开发人员的说法，Coldcard直到3.1.9版（包括3.1.9版）均未包含该检查。 这种情况允许恶意操作员使用受感染的计算机或钱包应用程序来发送不属于任何Coldcard但归攻击者所有的xpubs。

Coinkite提醒用户其Coldcard钱包已更新至其固件版本3.2.2。 资料来源：coldcardwallet.com Coinkite对漏洞的回应

Conkite在昨日的消息中说，此更新解决了一个安全问题，攻击者可以在多重签名钱包设置过程中破坏计算机，从而转移资金。

“此问题仅会影响多签名钱包用户，并且只会是在攻击者控制下创建的钱包的问题。 该公司表示，强调“这不是“ Benma”所建议的远程攻击。

Coinkite将漏洞的发现归功于Hugo Nguyen，并声称它在一月份发布的更新解决了该问题。 但是，昨天他强烈要求用户下载新固件。

Coldcard钱包的固件版本

CriptoNoticias在1月12日报告了对3.2.1版本的更新，强调该改进包括具有更安全的多重签名的比特币交易。 当时，据报道，多重签名交易将分别跟踪每个签名者的派生路线。

尽管新版本带来了改进，但似乎还远远不够，因为自1月8日发布更新3.2.1之后，该公司于同月14日发布了3.2.2的第一个版本。

新的改进包括：带有子帐户显示的地址浏览器增强功能，对多签名钱包的验证支持以及导出的地址现在被命名为addresss.csv而不是.txt。

去年11月，“本马”已经提到比特币多签名钱包实际上是不安全的根据CriptoNoticias发布的报告，它已经预料到了上述某些情况。

应当指出，建立多重签名的选择是为了增加硬件钱包的安全性。 即，用户建立配置，以便操作需要多个批准。

—-

原文链接：https://www.criptonoticias.com/tecnologia/coinkite-habria-ocultado-monederos-vulnerables-ataques-remotos/

原文作者：globalcryptopress

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。