区块链钱包漏洞可窃取加密货币

  了 38 分钟攻击过程只花费。得了派生密钥最后成功获,eed 词组并解密了 s,一个设备上的密钥可以用于恢复另。

  行签名的密钥只保存在用户设备上Surf 钱包中用于对交易进。都是在客户端来实现的所有对区块链的操作。此因,管钱包类似与其他非托,册过程无需注。

  在测试中研究人员,创建了一个新的密钥在 Surf 中,制出了 keystore并从浏览器的本地存储上复:

  erscale 区块链钱包中发现安全漏洞Check Point 研究人员在 Ev,户加密货币可以窃取用。

  类保护机制即使没有这,组都保存在浏览器的本地存储中创建的密钥和 seed 词。征从 JS 访问的 key-value 存储本地存储是使用 localstorage 特,如比:

  洞提交给了 Ever Surf 开发者Checkpoint 研究人员将该漏,版的方式修复了该漏洞开发团队通过发布桌面。前目,本只用于开发用途该 web 版。er Surf web 版中使用账户的 seed 词组不再 Ev。

  是保存在用户计算机上的因为控制用户钱包的数据,唯一保护就是强加密因此对用户资金的。

   码后加密 seed 词语并向用户显示Surf 应用会在用户输入正确 PIN:

  浏览器中并不是受保护的本地存储在 web 。如比,密的 SQLite 数据库的形式存储在 Firefox 中本地存储以非加:

  扩展后安装该,rf 网站后打开 Su,keystone 的消息就可以看到包含加密的 :

  外此,被浏览器扩展访问本地存储还可以,以泄露保存的数据然后浏览器扩展可。ome web 扩展实现了该功能研究人员创建了一个简单的 Chr:

  运行应用时用户首次,一个新的钱包会被建议创建。seed 词组和公私钥对Surf 会生成一个 。外此,6 位数字的 PIN 码用户会被要求创建一个 :

  deJS 的密钥派生和 keystore 解密Checkpoint 研究人员重新实现了 no,执行了暴力破解攻击并对 PIN 码。理器上每秒钟可以破解 95 个密码在 4 核 Intel i7 处。率不高虽然效,PIN 码发起攻击了但是足以对 6 位 。情况下在最坏,表中只需要 175 分钟检查 10^6 个可能的。

  用于登入应用和确认交易然后该 PIN 码被。解 PIN 码的保护机制Surf 有应对暴力破:

分享: