'CryptoYC'

针对trezor的硬件钱包passphrase劫持与勒索

image

加密硬件钱包 BitBox 的开发人员 Benma 撰文称 Trezor 的硬件钱包低于 v1.9.3 版本的 Trezor One 和低于 v2.3.3 版本的 Trezor Model T 以及 KeepKey 钱包容易受到远程勒索攻击。Benma 指出,该漏洞允许攻击者在不靠近设备的情况下持有用户的加密货币以进行勒索。ShiftCrypto 开发人员在 2020 年春季发现此漏洞后分别在 4 月和 5 月通知了 Trezor 和 KeepKey 团队。Trezor 已于 9 月 2 日在 Trezor One v1.9.3 和 Model T v2.3.3 中发布了修复程序,建议 Trezor 用户更新其钱包。目前,KeepKey 尚未对该漏洞进行修复。

此前有报道,Ledger 硬件钱包安全研究团队 Ledger Donjon 曾于 2019 年 7 月发布报告称,攻击者可以从包括 Trezor One、Trezor T、Keepkey 和其他类似的 Trezor 设备中窃取出密钥种子,仅需 5 分钟和 100 美元的设备即可实现对这些钱包的攻击。今年 2 月份,Kraken 安全实验室表示 Trezor One 和 Trezor Model T 存在明显缺陷,攻击者可利用该缺陷窃取钱包数据。