打臉太快：最牛BitFi錢包不到一周被攻破

更多全球網路安全資訊盡在E安全官網www.easyaq.com

邁克菲（McAfee）殺毒軟體創始人約翰·邁克菲在2018年6月與 Bitfi 團隊共同推出開源 Bitfi 錢包，高調宣稱其錢包是世界上第一個堅不可摧的硬體錢包（加密貨幣錢包），從此開啟逗B之路。

7月24日，約翰·邁克菲在推特上發出挑戰，「誰要是攻破了 Bitfi 錢包，獎勵10萬美元。」Bitfi 官方還對賞金制定了詳細規則：

想要獲取賞金人不能在自己購買的 Bitfi 設備上操作，規則要求參與者首先需要購買一個特殊設備，並額外支付 50 美元將一些加密貨幣載入到設備上。如果有人能清空錢包，將可以獲得 10 萬賞金，和原有的加密貨幣。

然而，打臉總是來得太快！不到一周的時間，Bitfi 錢包就被安全研究人員給攻破了。

8月2日，來自荷蘭的安全研究人員「OverSoft」發表了一長串的 Twitter 消息，聲稱他已經拿到了這款加密貨幣錢包的根訪問（root access）

在其中一條推文中，@OverSoftNL 表示：

簡短更新一些有關 BitFi 的細節 —— 我們拿到了它的根訪問、有一個修補後的固件、並且能夠證實 BitFit 錢包依然「很開心地」與儀錶板保持連接。

這徹底打了 BitFi 的臉，它根本就沒任何所宣稱的檢查。

臉疼的 BitFi 方面沒有立即響應，後續的一條推文似乎證實了該安全漏洞的存在，但它沒有說明 OverSoft 或有其它任何人確實突破了 BitFi 的安全防線。

外媒 TNW 向 BitFi 方面發去詢問，也沒有得到答覆。

不過......事態好像有些嚴重了，邁克菲公司 CEO 丹尼爾·哈克辛似乎發出了求救信號，稱「我們需要幫助」。

推文寫道：「親愛的朋友，我們宣布第二個漏洞獎勵，請幫助 Bitfi 尋找潛在的設備安全漏洞」。

我們確實需要、也非常感謝來自社區的援助。詳情請戳 —— bitfi.com/bounty2 。

不過整件事折騰得很是搞笑，因為最早的那位破解者稱，Bitfi 無意向其支付 25 萬美元的漏洞賞金！！！！！

OverSoft 向 BitFi 連續施加了嘲諷，稱對方就是藉機會搞營銷而已。

另外值得注意的是，OverSoft 在沒有實際擁有設備的情況下，就對其發起了攻擊 —— 這......顯然是一個大問題。

設備的成本就要 120 美元（而且還沒算上運費），結果證明它可能完全沒必要。

OverSoft 重申，「你根本不需要 BitFi 設備來運行 BitFi 錢包」：

我再說一遍 —— 該設備中沒有任何 BitFi 應用運行所必須的東西。它沒有任何安全元素，官方明明可以將它作為一款普通 App 在 Play 商店中發布。

約翰·邁克菲堅稱，獲得 root 許可權 ≠ 構成了攻擊，黑客要從錢包中提取到資金才行。

然而，只要 OverSoft 想做，在拿到 root 許可權後破解錢包並不是問題，進而允許其惡意運行鍵盤記錄器、補丁、然後從事各種行為。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！