目錄
Toggle
3月5日,硬體錢包供應商Trezor披露了其舊款加密貨幣錢包存在潛在安全漏洞。儘管這主要是一種"理論"攻擊,但它可能會影響那些從第三方購買裝置的使用者。
這一漏洞是在Trezor的競爭對手Ledger報告了這個問題後被發現的。3月6日,Ledger提供了更多關於這種攻擊方式的細節。Ledger的Donjon安全團隊使用了一種物理供應鏈攻擊技術來測試Trezor Safe 3錢包(2023年推出)的安全性,並確認該裝置仍存在安全風險。
針對Trezor Safe 3控制器的攻擊
據Trezor介紹,這種攻擊利用了控制器(處理使用者操作和交易簽名的晶片)的弱點,使用"電壓毛刺"技術。如果攻擊者能夠物理訪問該裝置,他們就可以拆卸控制器,精確地改變電壓來欺騙該裝置,從而訪問記憶體資料。這可能使駭客能夠植入惡意軟體、洩露助記詞(seed phrase)並盜取錢包內的資產。
不過,Trezor表示,這種攻擊不會影響該公司的大多數產品,包括Trezor Safe 5、Trezor Model One和Model T。同時,實施這種攻擊需要高超的技術和特殊環境,使其不太可能成為普遍的威脅。因此,Trezor不要求Safe 3使用者立即採取行動,特別是對於從官方渠道購買的裝置。
新款Trezor的安全措施
為了降低風險,Trezor已經集成了"助記詞"功能 - 一個額外的密碼,不儲存在裝置上 - 以增強錢包備份的安全性。此外,該公司還實施了其他增強型保護措施,如韌體完整性檢查。特別是,Trezor Safe 5使用抗電壓毛刺的STM32U5控制器,有助於限制物理攻擊的風險。
Trezor Safe 3的安全漏洞提醒我們,即使是硬體錢包也不能完全免於物理威脅。建議使用者只從官方渠道購買裝置,並始終啟用額外的安全功能來保護加密資產。
