zombie
> > > >
> > > >

網路安全公司示範如何破解 Trezor 硬體錢包!開發商回應:問題不大

2023/05/25 12:56
網路安全公司示範如何破解 Trezor 硬體錢包!開發商回應:問題不大

根據 The Block 報導,網路安全公司 Unciphered 在 Youtube 頻道上發布了一段成功入侵 Trezor T 硬體錢包的影片,該公司在影片中利用了硬體設備本身的漏洞,提取出了錢包的助記詞。不過,Unciphered 描述的攻擊方式只有在攻擊者能夠物理接觸硬體錢包時才可能實施。

從物理設備破解 Trezor 錢包

硬體錢包一般被認為是存儲私鑰與保護加密資產的安全方式。然而,Unciphered 表示,如果駭客能夠取得 Trezor T 錢包設備,理論上可以繞過 Trezor T 的硬體安全機制。

Unciphered 團隊在影片中表示他們挖掘出了一種硬體設備的「內部漏洞」,再通過專用的 GPU 晶片,最終允許他們破解出該設備的助記詞。Unciphered 聯合創辦人 Eric Michaud 解釋道:

「我們將提取的硬體上傳到我們的高性能計算破解集群上。我們有大約 10 個 GPU,經過一段時間後,我們成功提取出了密鑰。」

Eric Michaud 進一步聲稱,若製造商 Satoshi Labs 想要修復 Trezor T 的這個漏洞,就必須召回所有產品。

值得一提的是,這並不是 Unciphered 第一次成功地從硬體錢包中提取出助記詞。今年 2 月份,該公司也對來自香港的硬體錢包製造商 OneKey 實施過類似的攻擊。OneKey 在當時承認該漏洞確實存在,並透過更新安全補丁進行修復,同時還向 Unciphered 支付了一筆賞金。

製造商如何回應?

針對 Unciphered 發佈的短片,Satoshi Labs 承認 Unciphered 的示範與 Kraken 安全實驗至的研究人員所發現的 Read Protection Downgrade (RDP) 漏洞具有相似之處,該漏洞影響了 Trezor One 和 Trezor Model T。這意味著這個漏洞並非新發現。

該公司技術長 Tomáš Sušánka 表示:

「這似乎是一種稱為 RDP 降級攻擊的漏洞,正如我們在 2020 年初在部落格中所通報的那樣,RDP 降級攻擊需要物理設備的盜竊、極其複雜的技術知識和先進的設備。且即便如此,Trezor 仍可以通過強大的密碼保護增加另一層安全性,從而使 RDP 降級攻擊無效。」

此外,Satoshi Labs 也表示已經采取了重要措施,通過與其姊妹公司 Tropic Square 合作,開發了一個新的硬體錢包安全元件,以解決未來可能出現的問題。

join Zombit

加入桑幣的社群平台,跟我們一起討論加密貨幣新資訊!

桑幣熱門榜

關閉廣告 關閉廣告
zombie

桑幣正在徵文中,我們想要讓好的東西讓更多人看見!
只要是跟金融科技、區塊鏈及加密貨幣相關的文章,都非常歡迎向我們投稿
投稿信箱:[email protected]

為提供您更多優質的服務與內容,本網站使用 cookies 分析技術。若您繼續閱覽本網站內容,即表示您同意我們使用 cookies,關於更多相關隱私權政策資訊,請閱讀我們的隱私權及安全政策宣示