Partager cet article
Une faille dans le portefeuille matériel permet aux pirates de conserver des Crypto contre rançon sans toucher l'appareil.
Une hypothétique attaque de l'homme du milieu aurait permis à un attaquant de conserver les Crypto des utilisateurs contre rançon sur les portefeuilles matériels Trezor et KeepKey.
Faites de nous votre source préférée sur Google
Une vulnérabilité récemment révélée dans deux portefeuilles matériels populaires aurait permis aux attaquants de conserver la Cryptomonnaie des utilisateurs contre rançon sans s'approcher de l'appareil.
La Suite Ci-Dessous
Ne manquez pas une autre histoire.Abonnez vous à la newsletter The Protocol aujourd. Voir toutes les newsletters
- ShiftCrypto, la société suisse qui fabrique le portefeuille matériel BitBox,a révélé une potentielle attaque de rançon de type « man-in-the-middle »vecteur sur le rivalTrezor et KeepKeyportefeuilles matériels.
- Un développeur de ShiftCrypto connu sous le nom deMarko La vulnérabilité a été découverte au printemps 2020 et a été signalée aux équipes de Trezor et de KeepKey respectivement en avril et en mai. Un représentant de Trezor a confirmé à CoinDesk que l'attaque « n'était que théorique et n'avait jamais été mise en pratique ».
- ShiftCrypto n'a pas suggéré que l'attaque avait été menée, seulement qu'une attaque était possible.
- Trezora corrigé la vulnérabilité Pour ses portefeuilles matériels Model ONE et Model T KeepKey (qui est un fork, ou copie, de Trezor et exécute donc un code quasi identique) n'a pas apporté de correctif, selon l'équipe de ShiftCrypto, qui a indiqué que le fabricant avait invoqué des « éléments prioritaires » comme raison. CoinDesk a contacté KeepKey pour lui demander pourquoi elle considérait le vecteur d'attaque comme peu prioritaire, mais n'avait pas reçu de réponse au moment de la publication.
- L'attaque hypothétique implique une phrase secrète facultative que les utilisateurs de Trezor et KeepKey peuvent définir pour déverrouiller leur appareil, à la place du code PIN habituel. Les deux portefeuilles matériels nécessitent une connexion USB à un ordinateur ou un appareil mobile pour gérer leurs comptes. En connectant le portefeuille matériel à l'autre appareil, l'utilisateur saisira la phrase secrète dans ce dernier pour accéder au premier.
- Le problème est que ni Trezor ni KeepKey ne vérifiaient la phrase secrète saisie par l'utilisateur. La vérification nécessitait l'affichage de la phrase secrète sur l'écran du portefeuille afin que l'utilisateur puisse s'assurer qu'elle correspond à ce qu'il avait saisi sur l'ordinateur.
- Sans cette protection, un attaquant de type « man-in-the-middle » aurait pu modifier les informations transmises entre Trezor ou KeepKey et leurs utilisateurs en important une nouvelle phrase secrète dans le portefeuille. L'utilisateur n'en aurait rien su, car il ne pourrait T vérifier que la phrase secrète de l'appareil correspondait à ONE affichée sur l'écran de l'ordinateur.
- Après avoir saisi l'ancienne phrase secrète, l'utilisateur ouvrirait l'interface du portefeuille matériel sur l'ordinateur comme d'habitude. Cependant, chaque adresse générée serait sous le contrôle de la nouvelle phrase secrète définie par le pirate, empêchant ainsi l'utilisateur du portefeuille matériel de dépenser les fonds bloqués sur ces adresses.
- Cependant, l'attaquant n'aurait pas accès à ces adresses, car elles sont toujours dérivées de la phrase de cryptage du portefeuille ; elles ne peuvent donc être retenues que contre rançon. Ainsi, même si le pirate avait accès à la véritable phrase de cryptage, il aurait besoin de la phrase de cryptage ou d'accéder à l'appareil lui-même.
- Cette attaque de rançon pourrait être exécutée contre plusieurs utilisateurs à la fois, et plusieurs crypto-monnaies pourraient être prises en otage en même temps.
- Trezor et KeepKeyont eu des accrochages avec des vulnérabilités dans le passé, mais la plupart d'entre eux nécessitaient un accès physique aux portefeuilles matériels pour réussir avec quelquesexceptions. ONE découvert par leur concurrent a innové en permettant à l'attaquant hypothétique de travailler à distance.
MISE À JOUR (3 septembre, 17h31 UTC) : Ajout de commentaires de Trezor dans le troisième paragraphe.
Plus pour vous
Pudgy Penguins is building a multi-vertical consumer IP platform — combining phygital products, games, NFTs and PENGU to monetize culture at scale.
Ce qu'il:
Pudgy Penguins is emerging as one of the strongest NFT-native brands of this cycle, shifting from speculative “digital luxury goods” into a multi-vertical consumer IP platform. Its strategy is to acquire users through mainstream channels first; toys, retail partnerships and viral media, then onboard them into Web3 through games, NFTs and the PENGU token.
The ecosystem now spans phygital products (> $13M retail sales and >1M units sold), games and experiences (Pudgy Party surpassed 500k downloads in two weeks), and a widely distributed token (airdropped to 6M+ wallets). While the market is currently pricing Pudgy at a premium relative to traditional IP peers, sustained success depends on execution across retail expansion, gaming adoption and deeper token utility.
More For You
Tim Grant, PDG de Deus X : Nous ne remplaçons pas la finance ; nous l'intégrons
Le PDG de Deus X a évoqué son parcours dans les actifs numériques, la stratégie de croissance de l'entreprise axée sur l'infrastructure, ainsi que les raisons pour lesquelles son panel à Consensus Hong Kong promet « uniquement des discussions franches ».
What to know:
- Tim Grant est entré dans le domaine de la cryptomonnaie en 2015 après une première exposition à Ripple et Coinbase, attiré par la capacité de la blockchain à améliorer la finance traditionnelle plutôt qu’à la remplacer.
- Deus X combine investissement et exploitation pour construire une infrastructure financière numérique réglementée couvrant les paiements, les services principaux et la DeFi institutionnelle.
- Grant prendra la parole à Consensus Hong Kong en février.
À la une
