在硬件钱包中发现的一个漏洞，它可能使黑客锁定它。 您的赎金硬币

最近的一份报告显示，两个主要的硬件钱包中存在一个漏洞，该漏洞使黑客可以抓住受害者的加密货币进行赎金，而无需接近设备。

BitBox硬件钱包制造商ShiftCrypto透露，Trezor和KeepKey的硬件钱包可能存在“中间人”勒索攻击媒介。

开发人员ShiftCrypto（通常称为“ Marko”）在2020年春季发现了此漏洞，并分别在4月和5月向Trezor和KeepKey团队提供了线索。

但是，ShiftCrypto并未表示发生了攻击。 但是只是说它可以被攻击 新闻发布后，CoinDesk与Trezor和KeepKey取得联系，询问攻击是否会影响用户。 但是没有收到任何回复。

Trezor修复了Model One和Model T硬件钱包的漏洞，并且尚未解决KeepKey端（它是Trezor的一个分支或副本，并且运行类似的代码）的问题。制作人在ShiftCrypto团队讲话时声称 “它们的优先级更高”是原因。

该漏洞涉及密码的使用，Trezor和KeepKey用户可以设置该选项来解锁其设备，而不是使用常规PIN。这两个硬件钱包都必须连接USB。通过计算机或移动设备访问帐户 而且，当硬件钱包连接到另一台设备时，用户将必须输入密码短语一次才能访问该帐户。

但是，问题在于Trezor和KeepKey均未验证用户输入的密码。 作为帐户访问验证，密码短语密码必须显示在钱包屏幕上，以确保用户与他们在计算机上键入的内容匹配。

@media（最小宽度：500像素）{。响应文章{宽度：468像素；高度：60像素}}

没有这种保护 黑客使用传统攻击 中间人 可以通过导入（导入）发送到钱包的新密码短语来修改Trezor或KeepKey及其用户之间传输的信息。 用户将无法验证设备上的密码短语密码是否与计算机屏幕上的消息匹配。

用户返回时会发现在计算机上输入旧密码短语密码。 他们将能够正常启动硬件钱包界面，但是创建的每个地址都将在黑客分配的新密码的控制下。 因此，硬件钱包用户将无法使用锁定在这些地址中的资金。

但是相反，黑客也将无法使用锁定在这些地址中的资金。 由于需要使用钱包种子短语来访问帐户。 因此，黑客只能使用此漏洞进行勒索。 而且，尽管黑客可以访问真实的密码，但他们仍需要使用种子短语来打开设备。

过去，Trezor和KeepKey具有类似的漏洞。 但是，发现该漏洞最终需要访问物理硬件钱包才能获得完整的帐户访问权限。

资料来源：coindesk

—-

原文链接：https://siamblockchain.com/2020/09/03/trezor-keepkey-wallets-attack/

原文作者：Thongchai Jantasorn

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。