Kraken实验室仅用时15分钟就破解了Trezor的BTC硬件钱包

显示全部楼层 · 发表于 2020-2-25 14:00:08

美国数字货币交易所Kraken的网络安全部门公开披露了Trezor的两个旗舰产品-Trezor One和Trezor Model T中的关键硬件缺陷。

根据博客文章，Kraken Security Labs“仅用了15分钟就破解了Trezor的两个最新的加密数字货币硬件钱包。” 但是，Kraken所描述的方法需要大约15分钟的“物理访问时间”才能访问设备（包括打开其机壳）和某些专用组建，因此，它实际上并不是普通意义上的“轻松”。

wx5yf5vrw0e.jpg

Kraken说到，它利用电压短路故障从每个设备中提取被加密的助记词（一组用于控制BTC私钥的字段）。报告指出，一旦助记词被提取，它就会对设备进行强制破解，这很容易做到。

攻击本身利用了“ Trezor钱包中使用的微控制器内部的缺陷”。 Kraken提到Trezor的团队在“不重新设计硬件”的情况下很难解决此漏洞。

Kraken仅花费几百美元的破解装置来进行这次攻击，但他发现，这种为电压短路故障而设计的破解装置如果批量生产，则仅售75美元。
值得一提的是，Kraken的专家已经就此漏洞与Trezor联系。据报道，Trezor开发者SatoshiLabs的CTO Pavol Rusnak补充说：“我们很高兴Kraken Security Labs正在投入其资源来改善整个BTC生态系统的安全性。我们珍视这种负责任的披露与合作。”

反过来，Kraken Security Labs声称``试图在坏人之前发现对加密资产的攻击''，并``在2019年10月30日向Trezor团队负责地披露了此次攻击的全部详细信息''。之所以将此漏洞公开，是因为“这样，加密货币爱好者可以在Trezor团队发布修复程序之前保护自己”。

Trezor的回应

Trezor回应了该帖子，认为设备持有人应使用强密码来确保其设备安全。

Trezor在博客文章中写道：“在SatoshiLabs成立的6年中，我们将大部分资源投入到缓解远程攻击中，并且我们设计的设备可以完全抵抗所有在线威胁。” 大家都知道所有硬件都是可入侵的，关于物理攻击的问题不是它们是否会发生，而是何时会发生。”