目录
Toggle
3月5日,硬件钱包供应商Trezor披露了其旧款加密货币钱包存在潜在安全漏洞。尽管这主要是一种"理论"攻击,但它可能会影响那些从第三方购买设备的用户。
这一漏洞是在Trezor的竞争对手Ledger报告了这个问题后被发现的。3月6日,Ledger提供了更多关于这种攻击方式的细节。Ledger的Donjon安全团队使用了一种物理供应链攻击技术来测试Trezor Safe 3钱包(2023年推出)的安全性,并确认该设备仍存在安全风险。
针对Trezor Safe 3控制器的攻击
据Trezor介绍,这种攻击利用了控制器(处理用户操作和交易签名的芯片)的弱点,使用"电压毛刺"技术。如果攻击者能够物理访问该设备,他们就可以拆卸控制器,精确地改变电压来欺骗该设备,从而访问内存数据。这可能使黑客能够植入恶意软件、泄露助记词(seed phrase)并盗取钱包内的资产。
不过,Trezor表示,这种攻击不会影响该公司的大多数产品,包括Trezor Safe 5、Trezor Model One和Model T。同时,实施这种攻击需要高超的技术和特殊环境,使其不太可能成为普遍的威胁。因此,Trezor不要求Safe 3用户立即采取行动,特别是对于从官方渠道购买的设备。
新款Trezor的安全措施
为了降低风险,Trezor已经集成了"助记词"功能 - 一个额外的密码,不存储在设备上 - 以增强钱包备份的安全性。此外,该公司还实施了其他增强型保护措施,如固件完整性检查。特别是,Trezor Safe 5使用抗电压毛刺的STM32U5控制器,有助于限制物理攻击的风险。
Trezor Safe 3的安全漏洞提醒我们,即使是硬件钱包也不能完全免于物理威胁。建议用户只从官方渠道购买设备,并始终启用额外的安全功能来保护加密资产。
