ONE:硬件钱包漏洞让攻击者无需接触设备即可获得加密赎金_BigONE

最近发现的两个流行的硬件钱包中的漏洞使攻击者可以在不靠近设备的任何地方持有用户的加密货币进行勒索。

?ShiftCrypto,瑞士公司,制造商BitBox硬件钱包,已经公开了一种潜在的人在这中间攻击赎金的对手矢量Trezor和KeepKey硬件钱包。

名为Marko的ShiftCrypto开发人员在2020年春季发现了此漏洞,并分别在4月和5月通知Trezor和KeepKey团队。

TrustBase中国区负责人尔尔:在波卡生态愈加丰富状态下更看好DeFi领域:据官方消息,币赢CoinW《共识52》第十五期《Polkadot的进化之路——奠定波卡生态繁荣的基础设施》主题AMA中尔尔表示,

长期来看,我们知道DeFi这两年之所以很火,主要是因为流动性挖矿带来的流量引入。但事实上,目前的DeFi带来流动性价值的同时也带来了泡沫,一些真正的大方向,比如大数据、物联网、VR和人工智能等主流产业还没有与DeFi有机结合,形成“去中心化的供应链金融”。波卡生态已经有一些项目觉察到了这点并开始尝试,包括TrustBase(我们自己把它称作DeFi2.0)。我希望能够在波卡国度看到这种更为宏观的、全面的、建设性的DeFi,那将是未来社会影响力最大的领域。[2021/3/10 18:33:12]

?ShiftCrypto并不暗示已经进行了攻击,只是暗示可能进行攻击。CoinDesk与Trezor和KeepKey取得联系,询问攻击是否影响了他们的任何客户,但在发稿时都未收到任何回复。

BKEX Global宣布成立波卡生态基金:据官方消息,BKEX Global今日宣布成立Polkadot(波卡)生态基金,以支持波卡生态项目的发展,为项目提供孵化、市场等多方面支持。

BKEX Global此前已上线波卡主网代币DOT活期宝产品及杠杆ETP产品,支持DOT、KSM、KEN、XOR、MXC、XRT、AKRO等10余个币种交易,并在第一时间支持波卡主网代币DOT映射、转账等功能。同时,DOT还将于今日20:30上线BKEX2020明星产品——超级合约。[2020/8/26]

?Trezor已为其Model1和ModelT硬件钱包修复了该漏洞。根据ShiftCrypto团队的说法,KeepKey尚未修复,他说制造商引用了“更高优先级的项目”作为原因。

波卡周报:Staking比例调整至75%后,将增加验证人奖励:波卡Polkadot今日在官方平台更新本周进展,主要包括:1.6月29日,Kusama上正在进行一个议案公投,在平行链开启前,将staking的比率从50%调整到75%;2.6月30日,Kusama目前正在进行一个议案投票,将验证人的数量从400增加到500;3.7月1日,Web3基金会技术教育负责人Bill发推,Polkadot上的验证人数量将保持在197个,而不是增加到200个;4.7月1日,Soramitsu宣布创建 Polkaswap的计划,一个将连接到Polkadot的非托管代币交换的基础设施;5.7月2日,Polkadot发布v0.8.13版本,此外,Kusama第68个议案已经通过,Kusama的最佳staking比例将调整为75%,在平行链开启前,验证人将得到更多的区块奖励。截止发文,波卡主网的staking数据:波卡目前的版本:Polkadot CC1, version 13;现阶段:第二阶段 NPoS,可进行提名和验证人设置;全网已发行( 映射) DOT:828.1 万;验证人:197个;候选验证人:148个;提名人:689 个;抵押率:54.49%,即 451.2万个DOT正在进行 staking;上一个era奖励:1,795个DOT,一个ear = 24 小时。[2020/7/6]

?假设的攻击涉及一个可选的密码,Trezor和KeepKey用户可以设置密码来代替通常的PIN码来解锁设备。这两个硬件钱包都需要与计算机或移动设备建立USB连接才能管理帐户。将硬件钱包插入另一台设备时,用户将密码输入到另一台设备中以访问前者。

?问题是Trezor和KeepKey都不会验证用户输入的密码。验证需要在钱包的屏幕上显示密码,以便用户确保密码与他们在计算机上键入的内容匹配。

?如果没有这种保护措施,中间人攻击者可能会通过将新的密码短语导入钱包来修改Trezor或KeepKey及其用户之间传递的信息。用户不会更明智,因为他或她无法检查设备上的密码是否与计算机屏幕上的密码匹配。

?输入旧密码后,用户将照常在计算机上打开硬件钱包的界面。但是,生成的每个地址都将受到黑客设置的新密码短语的控制,因此硬件钱包用户将无法花费锁定在这些地址中的资金。

?但是,攻击者无法访问这些地址,因为它们仍然是从钱包的种子短语派生而来的,因此只能被勒索。因此,即使黑客可以访问真实的密码短语,他或她也将需要种子短语或设备本身的访问权限。

?这种赎金攻击可以立即针对多个用户执行,并且多种加密货币可以同时被劫为人质。

?Trezor和KeepKey有过口角,在过去的漏洞,但所有这些要求的硬件钱包物理访问成功SANS一对夫妇例外。他们的竞争对手发现的那个通过允许假想的攻击者远程工作而破土动工。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:7ms0-6:737ms