关键事实:
Kraken Security Labs团队在KeepKey加密货币冷钱包中发现了一个严重漏洞,这使他们能够找到提取种子的方法,仅能物理访问该钱包约15分钟。 在12月10日的公司博客中发布的信息中,Kraken Security Labs的分析师指出,为了识别该漏洞,他们进行了电压故障或电压故障攻击,从而设法提取了加密货币种子。 电压故障攻击涉及硬件变量的操纵,通常用于在安全设备中产生临时问题,该安全设备操纵或保留机密数据。这样,对硬件的攻击利用了KeepKey中使用的微控制器固有的故障。 在技??术层面上,Kraken Security Labs的调查确定该漏洞是基于MKR的固件的,该固件是建立控制电子电路逻辑的计算机程序。因此,电压故障攻击指向在设备启动时执行的微控制器的内存,这时将加载芯片的安全配置。 通过这种方式,研究人员得出结论,这是“无法修补的固有硬件漏洞,需要完全替换基础硬件”。 考虑到这一事实,故障使得可以使用专用电子设备从存储中读取加密货币数据。然后,你可以使用软件通过测试所有可能的组合来猜测1-9位PIN码。分析师解释说,这就是解密加密货币种子的方式,尽管这种加密货币种子受到了保护,但如果使用“强力”技术,解密就变得微不足道了。该技术仅测试密钥的可能组合,直到找到所需的密钥为止。 考虑到数字,字母和特殊字符(总共62个字符),一个9个字符的键将需要进行数千亿次尝试(629),但是使用当前的技术,一台超级计算机可以在一秒钟内测试10亿个组合,因此所需的时间更少半小时解密种子。 该说明还补充说,尽管这种类型的攻击需要专门的知识和对硬件的物理访问权限,但是有可能为消费者创建易于使用的故障设备,其成本约为75美元。他们重申:“不幸的是,这意味着KeepKey团队很难在没有重新设计硬件的情况下对这个漏洞做一些事情。” 已知漏洞 自从去年6月Ledger安全总监Charles Guillemet在荷兰阿姆斯特丹举行的Breaking Bitcoin Conference上发表演讲以来,这些冷资产的脆弱性就早已被确定。几个开放的硬件钱包(包括KeepKey)中出现的故障。 在这方面,自2017年以来与KeepKey相关联的ShapeShift交易所所也表示,即使在结盟时也意识到失败的原因。在2019年6月发表在他博客上的一份说明中,他提到了这个问题。当时他们表示,包括KeepKey在内的大多数钱包都旨在保护用户免受更常见的攻击,例如恶意软件,病毒和试图窃取私钥的远程黑客。但是电压故障攻击试图以不同的方式提取种子。 为了保护设备免受此类攻击,Kraken Security Labs小组建议用户防止其他人操纵冷钱包。安全措施包括使用KeepKey客户端使用BIP39启用其他加密货币短语,即使实际上很难使用这些加密货币短语,也不会存储在设备上。 这不是第一次检测到与冷钱包有关的漏洞。在法国公司Ledger暴露了Trezor设计中的一系列安全漏洞之后,去年三月,最知名的两个冷钱包供应商Ledger和Trezor进行了公开讨论。在攻击媒介中,除了与供应链相关的故障(允许设备在出售给用户之前被黑客入侵)外,还提到了为钱包分配关键字的过程。 —- 编译者/作者:不详 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
在Keepkey冷钱包中检测到严重漏洞
2019-12-13 不详 来源:区块链网络
LOADING...
相关阅读:
- 比特币退后一步,但仍高于13,000美元2020-10-30
- 【532/730】币安正在接受美国联邦局调查?| OKEx最大的风险是你的资产归2020-10-30
- 股票投资和可变收入成为流行2020-10-30
- 一周回顾:PayPal入场引爆加密市场;LINE就数字货币项目进行谈判2020-10-30
- “我没有买过任何比特币,但我对加密货币很感兴趣”2020-10-30