當前位置:
首頁 > 最新 > 中間人攻擊威脅上萬人的硬體錢包

中間人攻擊威脅上萬人的硬體錢包

硬體錢包製造商萊傑去年銷售了超過100萬台設備,它已經向用戶發出了最近被發現的主要攻擊媒介。雖然沒有報道成功部署攻擊的情況,但威脅本身是非常真實的。今天,萊傑敦促其加密貨幣錢包的用戶採取措施避免陷入地址欺騙攻擊。

當心中間人

硬體錢包被認為是存儲比特幣和其他加密貨幣最安全的手段之一。USB冷藏設備消除了與網路連接同義的攻擊媒介。但是,要發送資金或發出接收地址,必須將硬體錢包插入支持互聯網的設備,研究人員發現了現階段影響帳務設備的漏洞。一個最新發布的報告顯示方式的MITM攻擊會發揮出來。它解釋說:

Ledger錢包使用運行在主機上的JavaScript代碼生成顯示的接收地址...惡意軟體可以簡單地用負責生成接收地址的代碼替換自己的地址,導致所有未來的存款被發送給攻擊者。

如果被執行的話,攻擊首先不會意識到事情是什麼。為了證明這個漏洞是真實的,報告的作者已經發布了一個證明這個攻擊行為的概念證明。這個攻擊的嚴重性由於在Ledger的錢包軟體存儲在AppData文件夾中,惡意軟體相對容易修改接收地址。正如報告所指出的那樣,「所有的惡意軟體都需要替換一行代碼......這可以通過少於十行的python來實現」。

排序的解決方案

為了避免受到這種攻擊,正如報告所解釋的那樣,有一種驗證接收地址的方法是正確的,正如萊傑今天早些時候在鳴叫中所承認的那樣:

這種解決方案雖然有效,但並不是故障安全的,因為它依賴於用戶每次交易時記住遵循這個程序。正如報告指出的那樣,「正確的解決辦法是在每次接收交易之前強制用戶驗證接收地址,就像電子錢包[強制]用戶批准每次發送交易一樣。

這就是Trezor現在使用硬體錢包的系統,強制使用2FA來訪問接收地址。希望萊傑能夠更新其設備,採用這種方法。硬體錢包比儲存在集中交易所上的資金還要安全得多,但是沒有一個解決方案是完全萬無一失的,正如萊傑案例所表明的那樣。

你認為這個漏洞是值得關注的嗎?你認為總帳應該執行2FA來解決嗎?請在下面的評論部分告訴我們。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 路予財經 的精彩文章:

比特幣現金支持者為網路的未來六個月做準備

TAG:路予財經 |