打脸太快：最牛BitFi钱包不到一周被攻破

迈克菲（McAfee）杀毒软件创始人约翰·迈克菲在2018年6月与 Bitfi 团队共同推出开源 Bitfi 钱包，高调宣称其钱包是世界上第一个坚不可摧的硬件钱包（加密货币钱包），从此开启逗B之路。

7月24日，约翰·迈克菲在推特上发出挑战，“谁要是攻破了 Bitfi 钱包，奖励10万美元。”Bitfi 官方还对赏金制定了详细规则：

想要获取赏金人不能在自己购买的 Bitfi 设备上操作，规则要求参与者首先需要购买一个特殊设备，并额外支付 50 美元将一些加密货币加载到设备上。如果有人能清空钱包，将可以获得 10 万赏金，和原有的加密货币。

然而，打脸总是来得太快！不到一周的时间，Bitfi 钱包就被安全研究人员给攻破了。

8月2日，来自荷兰的安全研究人员“OverSoft”发表了一长串的 Twitter 消息，声称他已经拿到了这款加密货币钱包的根访问（root access）

在其中一条推文中，@OverSoftNL 表示：

简短更新一些有关 BitFi 的细节 —— 我们拿到了它的根访问、有一个修补后的固件、并且能够证实 BitFit 钱包依然“很开心地”与仪表板保持连接。

这彻底打了 BitFi 的脸，它根本就没任何所宣称的检查。

脸疼的 BitFi 方面没有立即响应，后续的一条推文似乎证实了该安全漏洞的存在，但它没有说明 OverSoft 或有其它任何人确实突破了 BitFi 的安全防线。

外媒 TNW 向 BitFi 方面发去询问，也没有得到答复。

不过......事态好像有些严重了，迈克菲公司 CEO 丹尼尔·哈克辛似乎发出了求救信号，称“我们需要帮助”。

推文写道：“亲爱的朋友，我们宣布第二个漏洞奖励，请帮助 Bitfi 寻找潜在的设备安全漏洞”。

我们确实需要、也非常感谢来自社区的援助。详情请戳 —— bitfi.com/bounty2 。

不过整件事折腾得很是搞笑，因为最早的那位破解者称，Bitfi 无意向其支付 25 万美元的漏洞赏金！！！！！

OverSoft 向 BitFi 连续施加了嘲讽，称对方就是借机会搞营销而已。

另外值得注意的是，OverSoft 在没有实际拥有设备的情况下，就对其发起了攻击 —— 这......显然是一个大问题。

设备的成本就要 120 美元（而且还没算上运费），结果证明它可能完全没必要。

OverSoft 重申，“你根本不需要 BitFi 设备来运行 BitFi 钱包”：

我再说一遍 —— 该设备中没有任何 BitFi 应用运行所必须的东西。它没有任何安全元素，官方明明可以将它作为一款普通 App 在 Play 商店中发布。

约翰·迈克菲坚称，获得 root 权限 ≠ 构成了攻击，黑客要从钱包中提取到资金才行。

然而，只要 OverSoft 想做，在拿到 root 权限后破解钱包并不是问题，进而允许其恶意运行键盘记录器、补丁、然后从事各种行为。

声明：本文来自E安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。