深潮 TechFlow 消息,8 月 9 日,据 Cointelegraph 报道,安全研究人员发现了一种名为“Dark Skippy”的攻击机制,黑客可以利用该方法通过仅两个签名交易从比特币硬件钱包中提取私钥。此漏洞可能影响所有硬件钱包型号,但前提是攻击者诱骗受害者下载恶意固件。
研究报告由 Frostsnap 联合创始人 Lloyd Fournier 和 Nick Farrow 以及比特币协议 ZeroSync 和 BitVM 的共同开发者 Robin Linus 于 8 月 5 日发布。报告指出,硬件钱包的固件可以被编程为将用户的助记词部分嵌入到“低熵秘密随机数”中,这些随机数用于签署交易。当交易被确认时,生成的签名会被发布到区块链上,攻击者可以扫描区块链以找到并记录这些签名。
比特币钱包漏洞曾导致用户遭受重大损失。2023 年 8 月,SlowMist 报告称价值超过 90 万美元的比特币因 Libbitcoin explorer 库的漏洞被盗。11 月,Unciphered 报告称,由于 BitcoinJS 钱包软件的漏洞,价值 21 亿美元的比特币可能面临被攻击者转移的风险。