[下载imtoken钱包地址]打脸太快：迈克菲BitFi钱包不到一周即破防

这彻底打了 BitFi 的脸，它根本就没任何所宣称的检查。 

约翰·迈克菲坚称，获得 root 权限 ≠ 构成了攻击，黑客要从钱包中提取到资金才行。

外媒 TNW 向 BitFi 方面发去询问，也没有得到答复。不过峰回路转的速度也很快，因为该公司 CEO Daniel Hkesin 似乎发出了求救信号，称‘我们需要帮助’。 

脸疼的 BitFi 方面没有立即响应，后续的一条推文似乎证实了该安全漏洞的存在，但它没有说明 OverSoft 或有其它任何人确实突破了 BitFi 的安全防线。

在其中一条推文中，@OverSoftNL 表示：

推文写道：“亲爱的朋友，我们宣布第二个漏洞奖励，请帮助 Bitfi 寻找潜在的设备安全漏洞”。

设备的成本就要 120 美元（而且还没算上运费），结果证明它可能完全没必要。 

但根据定义，只要 OverSoft 想做，就肯定可以在拿到 root 权限后破解钱包，从而允许其运行键盘记录器、补丁、然后从事各种邪恶的事情。

简短更新一些有关 BitFi 的细节 —— 我们拿到了它的根访问、有一个修补后的固件、并且能够证实 BitFit 钱包依然很开心地与仪表板保持连接。

另外值得注意的是，OverSoft 在没有实际拥有设备的情况下，就对其发起了攻击 —— 这显然是一个大问题。

OverSoft 重申，“你根本不需要 BitFi 设备来运行 BitFi 钱包”：

约翰·迈克菲上周放话称，其新打造的比特币钱包 Bitfi“固若金汤”。然而打脸总是来得太快 —— 不到一周的时间，它就被安全研究人员给攻破了。昨日，来自荷兰的安全研究人员“OverSoft”发表了一长串的 Twitter 消息，声称他已经拿到了这款加密货币钱包的根访问（root access）。 

OverSoft 向 BitFi 连续施加了嘲讽，称对方就是借机会搞营销而已（It’s pure marketing）。

我们确实需要、也非常感谢来自社区的援助。详情请戳 —— bitfi.com/bounty2 。

不过整件事折腾得很是搞笑，，因为最早的那位破解者称，Bitfi 无意向其支付 25 万美元的漏洞赏金。 

我再说一遍 —— 该设备中没有任何 BitFi 应用运行所必须的东西。它没有任何安全元素，官方明明可以将它作为一款普通 app 在 Play 商店中发布。