- 安全研究人员发现Trezor的硬件钱包存在严重缺陷。
- 通过电压干扰,Kraken安全实验室的研究人员得以窃取硬件钱包的种子。但是,有一个简单的解决方案可以修复该缺陷。
交易所的安全部门Kraken Security Labs发现Trezor 的硬件钱包中存在严重缺陷。两者Trezor模型中的一个和所述T型具有关键硬件漏洞,允许黑客窃取钱包的种子。正如Kraken的研究人员所发现的那样,物理访问设备15分钟就足以完成此操作。
研究人员表明,要窃取种子,必须打开Trezor硬件钱包的外壳,移除微控制器,并感应电压干扰,以提取加密的种子。因此,hack当然不能被描述为“简单”。
尽管如此,Kraken在较短的时间内成功地提取了种子,这是恢复钱包和访问存储的加密货币所需的一系列单词。正如Kraken所说,研究人员利用了“ Trezor钱包所用微控制器的固有缺陷”。Kraken说,由于这是硬件缺陷,如果不发布带有新微控制器的全新模型,将很难纠正该缺陷。
Kraken研究小组进一步解释:
这种攻击依靠电压毛刺来提取加密的种子。最初的研究需要一些专业知识和几百美元的设备,但我们估计我们(或犯罪分子)可以大量生产一种对消费者友好的故障设备,其售价约为75美元。
Kraken之前曾对KeepKey的硬件钱包进行了类似的攻击。根据两项研究,Kraken得出结论:“这些芯片并非旨在存储秘密。Trezor和KeepKey这样的公司“不应仅依靠它们来保护加密货币。
攻击很容易预防
但也有个好消息。Kraken和Trezor都通过博客文章指出,如果设备没有密码短语保护,则只能通过电压干扰来窃取种子。在详细的博客文章中,Trezor团队指出,如果用户使用强大的BIP39密码短语,则可以完全防止攻击:
重要的是要注意,只有密码短语功能不能保护设备时,这种攻击才可行。强大的密码短语可以充分缓解成功攻击的可能性。
在目前的插曲 “魔法加密友”的前首席维护者Monero,里卡多Spagni,同时指出,硬件的缺陷可以很容易地通过激活可选的“密码”的功能是固定的。
特别是目前的Trezor,很容易发生小故障攻击,因此请使用密码短语。这样做确实比较麻烦,但是至少密码短语没有存储在设备上,因此它几乎就像是身份验证的第二个因素。
Litecoin的发明者Charlie Lee 指出了另一个重要方面。他强调了使用“赠品钱包”的影响,并说:
我见过很多人赠送密封的Ledger。我认为这是个坏主意。因为您有点想确保直接从制造商那里购买Ledgers和Trezors。您永远不会知道它是否已被篡改,并且您不想冒险。
本文链接地址:https://www.wwsww.cn/xmr/3303.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。