隨著硬件數字貨幣包的日益普及,俄羅斯網絡安全公司卡巴斯基已提醒用戶使用正品加密貨幣設備的重要性。
卡巴斯基的網絡事件專家Stanislav Golovanov 於5 月10 日報告了假冒硬件錢包冒充主要錢包公司Trezor 的問題。
根據博客文章,假錢包允許欺詐者通過更換的微控制器竊取比特幣(BTC),從而使攻擊者能夠超越用戶私鑰的控制權。
據報導,受害者購買了一個被篡改過的硬件錢包,偽裝成Trezor 的高級數字貨幣包Trezor Model T。這個假錢包看起來與真正的Trezor Model T 錢包完全一樣,提供一套標準的錢包功能。
“在處理錢包時,也沒有任何可疑之處:所有功能都正常運行,用戶界面與原來的界面沒有什麼不同,”戈洛瓦諾夫寫道。
不過,假錢包是從內部被篡改過的。據卡巴斯基團隊稱,攻擊者通過更換內部固件設法訪問用戶的加密貨幣資產。 “盜竊的實際機制仍不清楚,”戈洛瓦諾夫指出,並補充說這個問題是由“典型的供應鏈攻擊”引起的。
真品Trezor Model T(左)錢包與假錢包(右)。資料來源:卡巴斯基
為防止供應鏈攻擊,卡巴斯基網絡安全專家建議用戶只直接從官方供應商處購買硬件錢包。該公司指出,受害人是通過“一個受歡迎的分類網站上值得信賴的賣家”購買了假的Trezor 錢包。
卡巴斯基沒有立即回應Cointelegraph 就事件中涉及的經銷商發表評論的請求。
卡巴斯基描述的問題對於加密貨幣社區來說並不是什麼新鮮事。 2022 年,Trezor 公開解決了涉及篡改Trezor Model T 設備的安全事件。
根據Trezor 的博客文章,所描述的問題主要出現在Trezor Model T 錢包上,所有設備都是從俄羅斯市場的供應商處獲得的。該公司寫道:
“一些內部組件已被替換,允許惡意行為者欺騙設備的行為並使其安全功能變得多餘。”
根據Trezor 的官方網站,該公司目前在全球擁有約50 家官方授權經銷商。賣家位於許多司法管轄區,包括加拿大、美國、新加坡、印度、以色列、白俄羅斯、烏克蘭等國家。據該網站稱,目前俄羅斯沒有授權的Trezor 錢包經銷商。
抓住騙子:Kraken 建立假的加密貨幣賬戶來“誘餌”騙子
除了與供應鏈相關的安全措施外,Trezor 還建議其用戶按照步驟驗證其Trezor 錢包,為Model One 和Model T 提供官方指南。
Trezor 的軟件還通過在應用程序屏幕上提醒問題來提示任何潛在的固件問題。
關於Trezor Suite 非官方固件的警告。資料來源:Trezor
“我們想指出,我們在Trezor Suite 中有一個警告系統,如果用戶的設備使用非官方的,它會提醒用戶,”Trezor 的發言人告訴Cointelegraph。
雜誌:爆米花罐中的3.4B 美元比特幣——絲綢之路黑客的故事
資訊來源:由0x資訊編譯自COINTELEGRAPH。版權歸作者Helen Partz所有,未經許可,不得轉載