LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 新闻观点 > 在Keepkey冷钱包中检测到严重漏洞

在Keepkey冷钱包中检测到严重漏洞

2019-12-13 不详 来源:区块链网络

关键事实:

  • 该故障已在去年6月的比特币中断会议期间被发现。
  • 建议用户佩DAI额外的保护装置,并防止陌生人操纵设备。

Kraken Security Labs团队在KeepKey加密货币冷钱包中发现了一个严重漏洞,这使他们能够找到提取种子的方法,仅能物理访问该钱包约15分钟。

在12月10日的公司博客中发布的信息中,Kraken Security Labs的分析师指出,为了识别该漏洞,他们进行了电压故障或电压故障攻击,从而设法提取了加密货币种子。

电压故障攻击涉及硬件变量的操纵,通常用于在安全设备中产生临时问题,该安全设备操纵或保留机密数据。这样,对硬件的攻击利用了KeepKey中使用的微控制器固有的故障。

在技??术层面上,Kraken Security Labs的调查确定该漏洞是基于MKR的固件的,该固件是建立控制电子电路逻辑的计算机程序。因此,电压故障攻击指向在设备启动时执行的微控制器的内存,这时将加载芯片的安全配置。

通过这种方式,研究人员得出结论,这是“无法修补的固有硬件漏洞,需要完全替换基础硬件”。

考虑到这一事实,故障使得可以使用专用电子设备从存储中读取加密货币数据。然后,你可以使用软件通过测试所有可能的组合来猜测1-9位PIN码。分析师解释说,这就是解密加密货币种子的方式,尽管这种加密货币种子受到了保护,但如果使用“强力”技术,解密就变得微不足道了。该技术仅测试密钥的可能组合,直到找到所需的密钥为止。

考虑到数字,字母和特殊字符(总共62个字符),一个9个字符的键将需要进行数千亿次尝试(629),但是使用当前的技术,一台超级计算机可以在一秒钟内测试10亿个组合,因此所需的时间更少半小时解密种子。

该说明还补充说,尽管这种类型的攻击需要专门的知识和对硬件的物理访问权限,但是有可能为消费者创建易于使用的故障设备,其成本约为75美元。他们重申:“不幸的是,这意味着KeepKey团队很难在没有重新设计硬件的情况下对这个漏洞做一些事情。”

已知漏洞

自从去年6月Ledger安全总监Charles Guillemet在荷兰阿姆斯特丹举行的Breaking Bitcoin Conference上发表演讲以来,这些冷资产的脆弱性就早已被确定。几个开放的硬件钱包(包括KeepKey)中出现的故障。

在这方面,自2017年以来与KeepKey相关联的ShapeShift交易所所也表示,即使在结盟时也意识到失败的原因。在2019年6月发表在他博客上的一份说明中,他提到了这个问题。当时他们表示,包括KeepKey在内的大多数钱包都旨在保护用户免受更常见的攻击,例如恶意软件,病毒和试图窃取私钥的远程黑客。但是电压故障攻击试图以不同的方式提取种子。

为了保护设备免受此类攻击,Kraken Security Labs小组建议用户防止其他人操纵冷钱包。安全措施包括使用KeepKey客户端使用BIP39启用其他加密货币短语,即使实际上很难使用这些加密货币短语,也不会存储在设备上。

这不是第一次检测到与冷钱包有关的漏洞。在法国公司Ledger暴露了Trezor设计中的一系列安全漏洞之后,去年三月,最知名的两个冷钱包供应商Ledger和Trezor进行了公开讨论。在攻击媒介中,除了与供应链相关的故障(允许设备在出售给用户之前被黑客入侵)外,还提到了为钱包分配关键字的过程。

—-

编译者/作者:不详

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...