【比特币钱包】Coldcard比特币钱包中的“绕过”攻击可能会诱骗用户发送不正确的资金

【比特币钱包】Coldcard比特币钱包中的“绕过”攻击可能会诱骗用户发送不正确的资金

《【比特币钱包】Coldcard比特币钱包中的“绕过”攻击可能会诱骗用户发送不正确的资金》

仅限比特币的硬件钱包Coldcard已针对该漏洞发布了Beta固件补丁,该漏洞也于今年早些时候影响了竞争对手的硬件钱包。

在硬件钱包制造商Shift Crypto工作的安全研究员Ben Ma发现,Coldcard硬件钱包有一个缺陷:攻击者可能会以为诱骗Coldcard用户发送真实的比特币交易来诱使他们认为自己正在发送“测试网”交易–或比特币测试网络上的付款,该网络与主网不同。

不过,马云在其博客中写道,测试网和主网比特币交易“在幕后具有完全相同的交易表示”。 然后,攻击者可能会为硬件钱包生成比特币主网交易,但看起来像是测试网交易。 mainnet交易就像testnet交易一样在用户的钱包中显示,这使用户难以识别错误。

订阅我们每日更新的最新消息-Blockchain Bites。通过注册,您将收到有关CoinDesk产品的电子邮件,并且您同意我们的条款和条件以及隐私政策。

在一位匿名研究人员在法国制造的Ledger硬件钱包中发现了所谓的“隔离旁路”攻击之后,马云才知道了该漏洞。

与Coldcard不同,Ledger支持许多硬币,因此绕行攻击可能会通过诱骗钱包用户在打算发送litecoin和比特币现金(除了测试网BTC)时发送比特币来起作用。

“绕过”比特币钱包漏洞:背景

当披露Ledger钱包中的最初漏洞时,Coinkite创始人和Coldcard的创建者Rodolfo Novak说:“ Coldcard不支持任何狗屎币,我们认为这是最佳途径,”这表明他的纯比特币钱包将是安全的,因为该缺陷(部分)是由于Ledger设备以前使用相同的私钥管理不同的硬币。

由于Coldcard不支持多个硬币,因此从理论上讲应该不会出现此问题。 如果不是因为它也可以被比特币测试网地址利用,那就不会了。

如果用户的计算机受到威胁-他们的Coldcard设备已解锁并连接到该计算机-那么,当对手认为他们正在发送测试网比特币时,攻击者可能会诱使他们发送真实的比特币。

“攻击者只需说服用户进行例如“尝试测试网交易”或购买带有测试网币的ICO(我听说最近有这样的ICO)或任何数量的社交工程攻击就可以使用户执行测试网交易。 用户确认测试网交易后,攻击者将获得相同数量的主网比特币。”马云在帖子中写道。

由于发现攻击者可以远程执行此攻击,因此它符合Shift Crypto的标准,是一个关键问题,触发了负责任的披露流程。

根据该帖子,马云于8月4日披露了Coinkite的漏洞,第二天诺瓦克承认了这一漏洞。 11月23日,Coldcard发布了Beta版固件来修补此漏洞。

 

以上就是小编分享关于”【比特币钱包】Coldcard比特币钱包中的“绕过”攻击可能会诱骗用户发送不正确的资金”的相关文章,感谢读者的耐心阅读,觉得不错动动小手收藏转发吧!想了解更多相关新闻敬请关注小柚财经!

小柚财经QQ专线:334026(带你加入更多行业交流群)
小柚财经微信公众号:搜索【今日币有约】关注即可

文章标题:【比特币钱包】Coldcard比特币钱包中的“绕过”攻击可能会诱骗用户发送不正确的资金
文章链接:http://www.qjwj.cn/index.php/2020/11/27/13994/
小编申明:本站所提供文章资讯,均由互联网整理。

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注