Kraken安全實驗室公開了Trezor硬件錢包的一個重要缺陷。更具體地說,這個缺陷是針對Trezor One和Trezor Model T的。可怕的是,這個安全團隊僅用了15分鐘就成功利用了這個缺陷。Kraken建議Trezor硬件錢包的用戶不要把錢包交給陌生人。此外,用戶應該啟用他們的BIP39密碼。
就此,Kraken安全團隊在過去幾個小時裡發佈了一篇文章和一段相應的視頻,展示了Trezor硬件錢包是如何被入侵的。
“這種攻擊依賴於電壓故障來提取加密種子。這項初步的研究需要一些專業知識和幾百美元的設備,但我們估計我們(或罪犯)可以大規模生產出一種消費者友好的故障設備,售價約為75美元。”
“然後我們破解了加密種子,它由一個1-9位密碼保護,但對暴力破解來說是微不足道的。”
Kraken團隊指出,這些攻擊是由於“微控制器本身的缺陷”。這意味著,如果不重新設計硬件,Trezor什麼都做不了。
其他安全公司如Ledger Donjon和Trezor自己也知道這個問題,但Kraken是第一個將其公開的。
Trezor回應稱,攻擊者確實可以篡改用戶的設備。他們進一步指出,這將是可見的,也就是說攻擊者將不得不打開物理外殼,以訪問設備的STM32微芯片。就像Kraken所說,他們建議你把設備放在遠離陌生人的地方。
在幣安2018年12月的安全調查中,擔心物理攻擊的受訪者不足6%。Trezor表示,儘管關注物理攻擊的人少之又少,但他們卻非常重視。
在使用密碼短語時,Trezor建議你在繼續之前問自己一些問題。這些問題是硬件錢包製造商無法回答的,如果用戶覺得必要,就應該自行選擇啟用密碼短語功能。
“你是否能創建安全又好記的密碼?是否有人知道你持有多少比特幣?你持有的比特幣數量是否會讓你成為一個有價值的目標?”
密碼短語的主要優勢是它不會存儲在設備的任何地方,因此不能由第三方提取。與此同時,這也帶來了一個風險:如果你丟失或忘記了你的密碼,沒有人能幫你找回它。
對於加密貨幣持有者來說,物理硬件錢包是保護加密貨幣安全的最佳選擇之一。這是因為在線錢包很可能通過互聯網向全世界數百萬人展示其缺陷。而本次部分Trezor型號的漏洞表明,硬件錢包並不是最終答案,加密貨幣持有者仍需謹慎。
閱讀更多 巴比特 的文章
