传冷钱包Trezor出Bug!网络安全公司Unciphered物理破解成功取得私钥

来源:211COIN

2023-05-25 17:32:06

知名冷钱包大厂Ledger上周公布了新的私钥备份功能“Ledger Recover”,但遭到社群的强烈抵触,甚至造成Ledger用户对资产安全的忧虑,而受此影响不少用户也决定转向使用另一个主流冷钱包品牌Trezor。

传冷钱包Trezor出Bug!网络安全公司Unciphered物理破解成功取得私钥

Trezor传出漏洞物理可以破解实体钱包

然而,网络安全公司Unciphered在YouTube拍摄了一部影片,展示了从钱包中提取助记词(或私钥)的过程,声称他们能够以物理方式破解Trezor旗下的冷钱包,。

硬体钱包是用于线下存储私钥并保护加密资产的设备,通常被认为具有高度安全性。但Unciphered表示,如果骇客拥有一台Trezor T的钱包,理论上可以绕过该型号的硬体安全机制。

在影片中,Unciphered团队表示他们开发了一种“内部漏洞利用”方法,使他们能够提取钱包的韧体。Unciphered共同创办人Eric Michaud对此表示:“通过利用专用的GPU晶片,他们最终能够破解该设备的PIN码助记词。”

此外,Michaud解释:“我们将提取的韧体上传到我们的高效能计算破解集群上。我们有大约10个GPU,在一段时间后,我们提取了私钥。”

Michaud进一步表示,修复TrezorT的这个漏洞需要召回所有产品。事实上,这并非Unciphered第一次成功地以物理方式破解并取得私钥,早在2月该公司就以同样手法对香港冷钱包品牌OneKey进行类似攻击。

Trezor技术长:这是RDP降级攻击的漏洞

针对Unciphered对钱包的物理攻击,Trezor技术长Tomáš Sušánka表示:“这似乎是一种称为RDP降级攻击的漏洞,正如我们在2020年初的Medium中所介绍的,RDP降级攻击需要对设备进行物理窃取,以及极其复杂的技术知识和先进设备。即使具备上述条件,通过使用强密码短语,Trezor仍然可以得到保护,这增加了另一层安全性,使RDP降级攻击变得无效。”

换而言之,尽管Trezor承认Unciphered的演示与Kraken Security Labs的研究人员发现影响Trezor One和Trezor Model T的RDP降级攻击漏洞有相似之处,但这意味着该漏洞并非新发现。

Trezor还表示,他们已经采取重要措施,在与其姐妹公司Tropic Square合作开发新的冷钱包安全元件,以解决这个问题。

211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
微信:yelbtc 请注明来意 | 邮箱:[email protected]

Copyright © 2018-2022 211COIN版权所有.

京ICP备17000885号-3