根据ShiftCrypto(硬件钱包制造商的竞争对手)在Medium上发表的一篇博客文章usdt钱包,当用户在台式机和手机上输入密码短语时,旧版本的Trezor和KeepKey可能面临远程勒索软件攻击。 尽管尚未执行任何攻击,但这些钱包上的漏洞可能会看到数以百万计的加密硬币被恶意钱包/中间人锁定。
这些硬件钱包只能面对勒索软件攻击。 要从中窃取硬币,您必须能够实际访问钱包。 但是,作为有史以来第一次对硬件钱包的潜在远程攻击,来自SatoshiLabs(Trezor)和SpaceShift(KeepKey)的开发人员专注于修复该错误。
该漏洞源于KeepKey和Trezor上的密码短语,该密码短语用于访问硬件钱包加密硬币。 要输入密码,易受攻击的钱包的用户需要将其硬件钱包设备连接到计算机或手机上的USB插槽或相应的应用程序。
问题就从这里开始。
将硬件钱包连接到另一台设备后,您需要在另一台设备上键入密码短语才能开始管理帐户。 密码一旦填满,就无需在硬件设备本身上进行确认,这会引起问题。
Trezor和KeepKey均未在钱包的屏幕上提供密码验证,以确认其是否与输入的密码相同。 这意味着,如果恶意攻击者破坏了您的计算机或移动设备,他们可能会扭曲在钱包和用户之间传递的密码短语信息,从而使您无法使用资金。
这绝不是用户的错,因为他们无法确认填写的密码和在硬件钱包中注册的密码是否不同。 为了完全完成勒索软件攻击,用户需要使用其旧密码,这将在计算机上打开钱包的界面。
超过此地址形成的每个新地址都将注册到攻击者的密码短语中,从而使他们可以控制该地址。 但是,攻击者无法访问钱包中的资金,因为他们需要通过物理获取钱包的方式将密码短语锁定在硬件钱包中。
在无法使用资金的情况下,攻击者可以赎回硬件钱包中的加密令牌,从而使(Trezor和KeepKey的)用户也无法访问资金。
破译该漏洞的消息的ShiftCrypto开发人员表示,两个硬件钱包中的开发团队都已在4月份获悉可能的勒索软件攻击。 Trezor于9月2日宣布了其更新版本,对Trezor One v1.9.3和Model T v2.3.3进行了更改以解决该错误。 使用与Trezor类似代码的KeepKey尚未对漏洞进行更改,声称它们“首先处理优先级较高的项目”。
阅读更多>> Trezor硬件修复了Kraken Security Labs发现的“关键缺陷”
BEG尚未收到Trezor和KeepKey开发团队的回应。
帖子硬件钱包Trezor和KeepKey面临潜在的“中间人”勒索软件攻击最初出现在BitcoinExchangeGuide上。
—-usdt钱包
