Hinahayaan ng Hardware Wallet Flaw ang mga Attacker na Humawak ng Crypto para sa Ransom Nang Hindi Hinahawakan ang Device

Ang isang kamakailang ibinunyag na kahinaan sa dalawang sikat na wallet ng hardware ay magbibigay-daan sa mga umaatake na hawakan ang Cryptocurrency ng mga user para sa ransom nang hindi NEAR sa device.

• ShiftCrypto, ang Swiss na kumpanya na gumagawa ng BitBox hardware wallet, ay nagsiwalat ng potensyal na man-in-the middle ransom attack vector sa karibal Trezor at KeepKey mga wallet ng hardware.
• Isang ShiftCrypto developer na kilala bilang Marko natuklasan ang kahinaan noong tagsibol ng 2020, at inabisuhan ang mga koponan ng Trezor at KeepKey noong Abril at Mayo. Kinumpirma ng isang kinatawan ng Trezor sa CoinDesk na ang pag-atake ay "teoretikal lamang at hindi pa nagagawa sa pagsasanay."
• Ang ShiftCrypto ay hindi nagmungkahi na ang pag-atake ay isinagawa, tanging ang isang pag-atake ay posible.
• Trezor ay patched ang kahinaan para sa Model ONE at Model T hardware wallet nito. Ang KeepKey (na isang tinidor, o kopya, ng Trezor at sa gayon ay nagpapatakbo ng halos magkaparehong code) ay hindi nakagawa ng pag-aayos, ayon sa ShiftCrypto team, na nagsabing binanggit ng tagagawa ang "mas mataas na priyoridad na mga item" bilang dahilan. Inabot ng CoinDesk ang KeepKey upang tanungin ang koponan kung bakit itinuring nilang mababang priyoridad ang vector ng pag-atake ngunit hindi nakatanggap ng tugon sa oras ng pagpindot.
• Ang hypothetical na pag-atake ay nagsasangkot ng opsyonal na passphrase na maaaring itakda ng mga user ng Trezor at KeepKey na i-unlock ang kanilang device bilang kapalit ng karaniwang PIN code. Ang parehong mga wallet ng hardware ay nangangailangan ng koneksyon sa USB sa isang computer o mobile device upang pamahalaan ang mga account. Kapag isinasaksak ang hardware wallet sa kabilang device, ita-type ng user ang passphrase sa huli para ma-access ang dating.
• Ang problema ay hindi mabe-verify ni Trezor o KeepKey ang passphrase na ipinasok ng mga user. Ang pag-verify ay mangangailangan ng pagpapakita ng passphrase sa screen ng wallet upang matiyak ng user na tumugma ito sa kanilang na-type sa computer.
• Kung wala ang pananggalang na ito, maaaring baguhin ng man-in-the-middle attacker ang impormasyong ipinadala sa pagitan ng Trezor o KeepKey at ng kanilang mga user sa pamamagitan ng pag-import ng bagong passphrase sa wallet. Ang gumagamit ay hindi magiging mas matalino, dahil T niya masuri na ang passphrase sa device ay tumugma sa ONE sa screen ng computer.
• Sa pagpasok ng lumang passphrase, bubuksan ng user ang interface ng hardware wallet sa computer gaya ng dati. Ang bawat address na nabuo, gayunpaman, ay nasa ilalim ng kontrol ng bagong passphrase na itinakda ng hacker, kaya ang gumagamit ng hardware wallet ay hindi makakagastos ng mga pondong naka-lock sa mga address na ito.
• Ang umaatake, gayunpaman, ay hindi magkakaroon ng access sa mga address na ito dahil hinango pa rin ang mga ito sa seed phrase ng wallet, kaya maaari lamang silang i-hold para sa ransom. Kaya, kahit na may access ang hacker sa totoong passphrase, kakailanganin niya ang seed phrase o access sa device mismo.
• Ang ransom attack na ito ay maaaring isagawa laban sa maraming user nang sabay-sabay, at maraming cryptocurrencies ang maaaring ma-hostage nang sabay-sabay.
• Trezor at KeepKey nagkaroon ng mga run-in na may mga kahinaan sa nakaraan, ngunit karamihan sa mga ito ay nangangailangan ng pisikal na pag-access sa mga wallet ng hardware upang magtagumpay sa isang mag-asawa mga eksepsiyon. Ang natuklasan ng kanilang katunggali ay sumibak sa pamamagitan ng pagpayag sa hypothetical attacker na magtrabaho nang malayuan.

I-UPDATE (Set. 3, 17:31 UTC): Nagdagdag ng mga komento mula kay Trezor sa ikatlong talata.