Ledge研究人员证明可以对硬件钱包制造商Coinkite和Shapeshift产品进行攻击,这可能会让攻击者找到保护这些钱包的PIN码。目前漏洞已经被修复,两次黑客攻击都需要对设备进行物理访问,这从一开始就将危险降到最低。但Ledger认为,保持硬件钱包的最高标准还是值得的。Ledger首席技术官、Donjon安全团队负责人CharlesGuillmet表示,“如果你愿意,你可以在一个硬件钱包里放入数百万甚至数十亿美元。因此,如果攻击者能够物理访问硬件钱包,而钱包又不安全,那么这绝对是一件大事。一些加密货币交易所甚至将硬件钱包用于冷存储。”Shapeshift在2月份通过固件更新修复了KeepKey钱包中的一个漏洞。Coinkite的ColdcardMk2钱包中的硬件缺陷仍然存在,但在该公司目前的Coldcard型号Mk3中已修复。研究人员将在6月份的法国安全会议SSTIC上展示他们对Mk2的攻击。
安全研究人员披露Ledger签名安全漏洞 漏洞或导致用户资金被盗:安全研究人员Monokh撰文披露加密货币钱包Ledger硬件钱包存在的安全漏洞。Monokh指出,该漏洞可能导致用户资金被盗。Ledger会在除比特币之外的应用程序上公开比特币(主网)密钥和签名信息,会提供误导性的交易确认请求。以比特币和莱特币应用程序为例,漏洞攻击路径为:1.打开莱特币应用程序;2.获取比特币隔离见证地址;3.根据地址查看UTXOs;4.发起比特币交易并发送给Ledger设备要求签名;5.得到有效的已签名比特币交易信息。Ledger本应在上述第二、第四步骤中识别错误并对其进行阻止,但仍然提示用户进行交易。所有固件版本和App版本均受到此漏洞影响。Monokh建议Ledger在实时应用程序目录上禁用山寨币(Altcoin)应用程序,直至发布修补程序。根据漏洞披露进程表,2019年1月份,Monokh最初于2019年1月份向Ledger披露与隐私相关的安全漏洞,随后,Ledger更新了固件但未对应用程序进行更新,并表示在更新应用程序后将立即公开漏洞。2019年4月份,Monokh再次联系Ledger要求更新应用程序,但未得到反馈。今年5月份,Monokh将该漏洞的根本原因在签名功能方面,这可能会导致用户资金被盗。此后,Ledger称正在调查该漏洞。之后Monokh多次联系Ledger并要求披露漏洞并对其进行修复,但未得到回应,Ledger也没有修复或披露相关漏洞。[2020/8/5]
研究人员发现以太坊钱包Argent出现高危漏洞:网络安全公司OpenZeppelin研究人员发文称,发现以太坊钱包Argent上出现高危漏洞。漏洞可使攻击者接管用户钱包,特别是那些没有激活“守护”功能的用户。与此同时,文章称,Argent团队已经修复了这个漏洞,并已联系受影响的用户。(The Block )[2020/6/20]
动态 | 研究人员发现新型挖掘XMR的恶意软件Linux Rabbit:据Live Bitcoin News消息,研究人员发现新型挖掘XMR的恶意软件Linux Rabbit。该软件通过影响Linux服务器和物联网设备以挖掘XMR。[2018/12/8]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。