Kraken发现Trezor产品组合中的缺陷

交易所Kraken于1月31日星期五发布了YouTube上的视频，其中包括访问Trezor钱包的内容。根据交易所本身的说法，该漏洞可以在Trezor One和Trezor Model T模型中利用。

该过程很复杂，需要打开物理设备，但是可以通过简单的安全配置来避免。

影片

Kraken在YouTube频道上发布了视频，展示了Trezor钱包的打开以及处理器的撤出。使用电源，攻击需要在设备上引起由高电压引起的错误，最终释放访问权限-交易所报告中对此进行了详细介绍。

然后，正如交易所在报告中所声称的那样，通过使用Python编写的脚本以“琐碎”的方式规避了用于保护钱包的PIN码。根据Kraken的说法，整个过程大约需要15分钟，并且功率器件的构造违反了芯片。该交易所估计，犯罪分子可以以75美元的价格复制该设备。

在叙述了违规行为之后，Kraken会分两步告诉您如何避免违规行为。首先是防止恶意代理访问物理设备，从而使所述的攻击媒介无效。第二个是启用密码短语，这是一个额外的保护层，其中包括创建一个隐藏在物理设备内部的钱包，可通过对恢复种子进行补充的短语进行访问。该额外的层不受Kraken进行的测试的影响。

答案

数小时后，Trezor通过在Medium上发表的一篇文章对该出版物做出了回应，解释说该漏洞被称为RDP降级，除了诸如KeepKey设备之类的衍生物外，在Trezor One和Trezor Model T产品组合中使用的STM32微芯片中很常见。

根据钱包制造商的说法，攻击需要专门的硬件，时间和对物理设备的访问权限。 Trezor还指出，它既关注远程安全漏洞（涉及66.3％的加密货币用户），也关注物理违规（仅关注不到6％的用户）。根据文字：

“我们一直都知道所有硬件都是可侵犯的，而有关物理攻击的问题不是它们是否会发生，而是何时发生。即使一小部分加密货币用户担心物理攻击（不到6％），我们对待物理漏洞的紧急程度与处理远程漏洞的紧急程度相同。”

因此，Trezor包含了第??39号比特币改进提案（BIP39），以提供额外的保护。

Kraken通过Twitter表达了自己的谢意，并感谢Trezor的迅速回应，并表示他们很乐意协助制造商改善设备的安全性。

3 / Kraken感谢@ Trezor对披露的及时响应以及他们在解决漏洞方面所付出的努力。

我们很高兴根据需要或要求帮助他们前进。

有关更多详细信息，您可以阅读下面的完整博客文章：https://t.co/iviEhmxwN2

-Kraken Exchange（@krakenfx）2020年1月31日

“ Kraken感谢对发现的快速响应以及在谈论此漏洞方面所付出的努力。

从现在开始，我们很乐意为您提供任何必要或要求的帮助。”

记忆中的一切

通过高压导致的故障获得的是恢复种子，通过恢复种子可以进入钱包。尽管对于BIP39中提供的密码短语知之甚少，但它们通常被认为是物理设备最重要的防线。

因此，重要的是要注意没有丢失的地方的种子和密码短语。可以在计算机上使用一张纸或记事本，但是安全专家不建议采用这种方法。

在这些情况下，市场提供了替代方案，例如KriptoSteel，这是一种耐高温并能防止腐蚀长达20年的钢板。例如，使用Bic笔可以在页脚中写下其种子甚至密码短语。

Kraken的发现旨在提醒加密市场及其用户，向其发送信息，即安全永远不过分。

另请阅读：Deribit将在二月份推出比特币期权

—-

原文链接：https://www.criptofacil.com/kraken-identifica-falha-carteira-trezor/

原文作者：Gino Matos

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。