Trezor回应钱包漏洞,攻击者窃取加密货币需取得物理设备
Kraken安全实验室公开了Trezor硬件钱包的一个 重要缺陷 。更具体地说,这个缺陷是针对Trezor One和Trezor Model T的。可怕的是,这个安全团队仅用了15分钟就成功利用了这个缺陷。Kraken建议Trezor硬件钱包的用户不要把钱包交给陌生人。此外,用户应该启用他们的BIP39密码。
就此,Kraken安全团队在过去几个小时里发布了一篇文章和一段相应的视频,展示了Trezor硬件钱包是如何被入侵的。
“这种攻击依赖于电压故障来提取加密种子。这项初步的研究需要一些专业知识和几百美元的设备,但我们估计我们(或罪犯)可以大规模生产出一种消费者友好的故障设备,售价约为75美元。”
“然后我们破解了加密种子,它由一个1-9位密码保护,但对暴力破解来说是微不足道的。”Kraken团队指出,这些攻击是由于“微控制器本身的缺陷”。这意味着,如果不重新设计硬件,Trezor什么都做不了。
其他安全公司如Ledger Donjon和Trezor自己也知道这个问题,但Kraken是第一个将其公开的。
Trezor回应称,攻击者确实可以篡改用户的设备。他们进一步指出,这将是可见的,也就是说攻击者将不得不打开物理外壳,以访问设备的STM32微芯片。就像Kraken所说,他们建议你把设备放在远离陌生人的地方。
在币安2018年12月的安全调查中,担心物理攻击的受访者不足6%。Trezor表示,尽管关注物理攻击的人少之又少,但他们却非常重视。
在使用密码短语时,Trezor建议你在继续之前问自己一些问题。这些问题是硬件钱包制造商无法回答的,如果用户觉得必要,就应该自行选择启用密码短语功能。
“你是否能创建安全又好记的密码?是否有人知道你持有多少比特币?你持有的比特币数量是否会让你成为一个有价值的目标?”密码短语的主要优势是它不会存储在设备的任何地方,因此不能由第三方提取。与此同时,这也带来了一个风险:如果你丢失或忘记了你的密码,没有人能帮你找回它。
对于加密货币持有者来说,物理硬件钱包是保护加密货币安全的最佳选择之一。这是因为在线钱包很可能通过互联网向全世界数百万人展示其缺陷。而本次部分Trezor型号的漏洞表明,硬件钱包并不是最终答案,加密货币持有者仍需谨慎。
原文:https://coingape.com/trazor-wallet-security-flaw-kraken/
作者:John Kiguru
编译:Wendy
稿源(译):巴比特资讯(https://www.8btc.com/article/550944)