ZOR:硬件钱包漏洞让攻击者无需接触设备即可获得加密赎金

最近发现的两个流行的硬件钱包中的漏洞使攻击者可以在不靠近设备的任何地方持有用户的加密货币进行勒索。

?ShiftCrypto，瑞士公司，制造商BitBox硬件钱包，已经公开了一种潜在的人在这中间攻击赎金的对手矢量Trezor和KeepKey硬件钱包。

名为Marko的ShiftCrypto开发人员在2020年春季发现了此漏洞，并分别在4月和5月通知Trezor和KeepKey团队。

硬件钱包开发商Foundation Devices完成700万美元种子轮融资:金色财经报道，硬件钱包工具开发商 Foundation Devices 完成 700 万美元种子轮融资，投资公司 Polychain Capital 领投，Greenfield Capital 和 Lightning Ventures 以及现有投资者 Third Prime、Warburg Serres、Unpopular Ventures 和 Bolt 参投。这笔资金将帮助 Foundation Devices 继续扩大其工程和设计团队并构建产品，近期将重点放在软件服务上。[2022/12/19 21:54:47]

?ShiftCrypto并不暗示已经进行了攻击，只是暗示可能进行攻击。CoinDesk与Trezor和KeepKey取得联系，询问攻击是否影响了他们的任何客户，但在发稿时都未收到任何回复。

硬件钱包Trezor支持通过MoonPay直接购买加密货币:金色财经报道，根据周三的公告，总部位于捷克共和国的硬件钱包提供商 Trezor 已与 MoonPay 合作，新的集成允许客户通过非托管加密钱包买卖大量加密货币，从而帮助用户更好地保护他们的资金。Trezor 目前支持 1,000 多种加密货币，包括比特币 ( BTC )、以太坊 ( ETH ) 、Tether ( USDT )、BNB 、ADA 等。

MoonPay 是一种加密支付服务，允许用户使用借记卡、信用卡和其他支付方式买卖加密货币和NFT。2022 年 4 月，该公司从 Justin Bieber 和 Snoop Dogg 等投资者那里筹集了 8700 万美元，专注于 NFT 和 Web3。[2022/9/1 13:01:13]

?Trezor已为其Model1和ModelT硬件钱包修复了该漏洞。根据ShiftCrypto团队的说法，KeepKey尚未修复，他说制造商引用了“更高优先级的项目”作为原因。

一名英国人硬件钱包遭到窃取，损失价值约34000美元的加密货币:一名英国人在使用硬件钱包时，其加密货币遭到转移，这造成这名英国人损失了价值约34000美元的加密货币。之所以会被人将钱包内的加密货币转移，并不是因为硬件钱包的设计缺陷，而是由于转售者插入了他们自己的恢复种子。随后，买方不知不觉地开始使用钱包，因为他们不知道他们所使用的默认种子不是由制造商随机分配的，最终导致财产的丢失。[2018/5/9]

?假设的攻击涉及一个可选的密码，Trezor和KeepKey用户可以设置密码来代替通常的PIN码来解锁设备。这两个硬件钱包都需要与计算机或移动设备建立USB连接才能管理帐户。将硬件钱包插入另一台设备时，用户将密码输入到另一台设备中以访问前者。

?问题是Trezor和KeepKey都不会验证用户输入的密码。验证需要在钱包的屏幕上显示密码，以便用户确保密码与他们在计算机上键入的内容匹配。

?如果没有这种保护措施，中间人攻击者可能会通过将新的密码短语导入钱包来修改Trezor或KeepKey及其用户之间传递的信息。用户不会更明智，因为他或她无法检查设备上的密码是否与计算机屏幕上的密码匹配。

?输入旧密码后，用户将照常在计算机上打开硬件钱包的界面。但是，生成的每个地址都将受到黑客设置的新密码短语的控制，因此硬件钱包用户将无法花费锁定在这些地址中的资金。

?但是，攻击者无法访问这些地址，因为它们仍然是从钱包的种子短语派生而来的，因此只能被勒索。因此，即使黑客可以访问真实的密码短语，他或她也将需要种子短语或设备本身的访问权限。

?这种赎金攻击可以立即针对多个用户执行，并且多种加密货币可以同时被劫为人质。

?Trezor和KeepKey有过口角，在过去的漏洞，但所有这些要求的硬件钱包物理访问成功SANS一对夫妇例外。他们的竞争对手发现的那个通过允许假想的攻击者远程工作而破土动工。

标签：ZOR加密货币KEEKEYRAZOR价格加密货币市场规模排名bitkeep里面没钱怎么充值onekey一键还原怎么重装系统

BTC热门资讯