作为研究工作的一部分,Kraken安全实验室团队检测到Trezor的冷钱包(Trezor One和Trezor Model T)存在与最近在KeepKey钱包中发现的漏洞相同的漏洞,攻击者可以利用该漏洞找到攻击者。提取种子(私钥)的方法,只需物理访问钱包约15分钟即可。 分析师当时表现出色电压故障或电压故障攻击通过它们,他们设法提取了加密的种子。这种类型的攻击涉及操纵硬件变量,以在安全设备中生成临时问题,从而操纵或保留机密数据。 从这个意义上讲,1月31日发布的Kraken安全实验室报告详细说明了所采取的步骤:
他们补充说,此过程利用了钱包所用微控制器固有的故障。 ?不幸的是,这意味着Trezor团队很难对此漏洞采取措施研究人员解释说,而无需重新设计硬件。他们在去年12月评估KeepKey的冷钱包时也得出了结论。 那时,他们确定漏洞是基于制造商的固件的,该固件是建立控制电子电路逻辑的计算机程序。电压故障攻击指向在设备启动时执行的微控制器的内存,此时将加载芯片的安全设置。 至于Trezor钱包,它们表明提取种子并不是一个新领域。 “ Trezor已针对各种先前的硬件攻击实施了措施,包括成功缓解了小故障攻击。”但是,分析师称他们刚刚进行的测试可以应对这些缓解措施。
Trezor回应 在Kraken Security Labs发布之前,Trezor团队(SatoshiLabs)认识到该漏洞,甚至建议用户阅读材料详细了解攻击的工作方式。它甚至增加了对所谓的降级攻击的解释,Trezor钱包也容易受到这种攻击。这表明Trezor One和Trezor Model T模型中使用的STM32微芯片的硬件漏洞。 在这种情况下,他的回应强调指出,这些攻击需要对设备进行物理访问才能对其进行操作,因此突出用户在保护钱包中的作用。 他们补充说,尽管只有一小部分加密货币用户担心物理攻击(大约6%),但“我们将物理漏洞与任何远程漏洞一样紧迫地对待。”因此,他们建议实施“密码”功能,这是一个未存储在硬件中任何位置的附加密码短语。 用户提问 关于此论点,一个Twitter追随者被标识为@mvidallopez,他提出了一个线索来质疑Trezor的立场。他说:“我对Trezor对Kraken揭示的漏洞的回答感到非常满意,”他补充说它应该更苛刻。
它得出的结论是,到2020年,出售带有设计和很长时间以来就已经已知容易受到攻击的硬件的冷钱包是不可接受的。他也不同意“将缓解问题的责任转移给客户”。在这方面,请记住,使用附加短语需要附加的“密码”配置,新手可能会因此而失去资金的风险。 —- 原文链接:https://www.criptonoticias.com/seguridad-bitcoin/vulnerabilidades/comprueban-vulnerabilidad-acceso-claves-privadas-carteras-frias-trezor/ 原文作者:globalcryptopress 编译者/作者:wanbizu AI 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
他们检查漏洞,以方便访问Trezor冷钱包的私钥
2020-02-01 wanbizu AI 来源:www.criptonoticias.com
LOADING...
相关阅读:
- 【异客系列】玩Uniswap的一些注意点汇总2020-08-04
- 大规模的$ 1,000,000,000比特币转移启动–是企业加密货币巨额流动资金吗2020-08-04
- XT|每日开工链新事儿08.04星期二2020-08-04
- 【一分钟看完币乎热门水文】 蹲个坑就能亏二十万,时间比你钱包里的2020-08-04
- Cobo金库二代横空出世——全脱网、全开源、更安全2020-08-04