在3月5日,硬件钱包供应商Trezor披露了其某些旧款加密钱包模型的潜在漏洞。该攻击在很大程度上是“理论上的”,可能只会影响那些通过第三方购买设备的用户。
Trezor在其主要竞争对手Ledger向公司通报此问题后发布了披露。周三,Ledger发布了关于该漏洞的更多见解,更详细地探讨了这一极其技术性的攻击是如何实施的。Ledger位于巴黎的安全部门Donjon据报道重用了一个已知的“物理供应链攻击”,并发现2023年发布的特定Trezor模型Safe 3仍然不安全。
Trezor表示:“Ledger Donjon最近评估了我们的Trezor Safe系列,并成功重用了一个已知的攻击,展示了Trezor Safe 3中一些针对供应链攻击的对策是如何被绕过的。”
也就是说,该攻击并不影响大多数Trezor钱包,包括其最新发布的Trezor Safe 5,或其前两代产品Trezor Model One和Model T。此外,该攻击依赖于特定的情况和高水平的专业知识来实施——这使得其在广泛利用上不切实际。因此,Trezor并不建议Safe 3用户立即采取行动,特别是如果设备是从官方渠道购买的。
然而,在某些情况下,如果第三方对用户的设备有物理访问权限,则可能面临风险。
Donjon展示的攻击利用了Trezor Safe 3的微控制器中的一个弱点——一个处理用户输入和签署交易的小型可编程计算机芯片——使用了一种称为电压故障攻击的技术。如果攻击者能够物理访问设备,拆除微控制器并施加精确的电压变化,他可以欺骗设备揭示其闪存内容。
这使得攻击者能够用恶意软件重新编程微控制器,可能允许攻击者揭示钱包的种子短语并访问存储的资金——无论黑客当前是否有设备的访问权限,还是在受害者获得设备之前就进行了操控。
Trezor写道:“虽然硬件钱包提供强大的安全性,但没有系统能够完全免疫于物理攻击。只要有足够的时间、专业知识和资源,决心坚定的攻击者理论上可以尝试从被盗设备中提取私钥。”
为了降低风险,较新的Trezor模型包括一个“密码短语”,该短语保存在设备之外,作为钱包备份的额外安全层。它还加强了其多层安全性,包括固件完整性检查。Trezor Safe 5还使用了升级版的STM32U5微控制器,能够抵御电压故障攻击。
Trezor和Ledger都建议用户仅直接购买设备,以确保钱包没有被篡改。第三方,如未经授权的转售商,可能在供应链过程中篡改设备并更改其硬件或软件。换句话说,用户应该注意钱包的保管链,因为这些攻击需要对硬件钱包的物理占有,即使是短暂的。
许多较新的硬件钱包包含一个“安全元件”,这是一个防篡改的物理芯片,旨在保护敏感信息。安全元件将用户的种子短语锁定在一个PIN后,并包括一个重试计数器以防止暴力破解攻击。然而,弱PIN仍然可能允许具有物理访问权限的攻击者解锁它。这对于Safe 3设备尤其如此,这些设备仍然容易受到基于微控制器的攻击。然而,使用更长的PIN可以使攻击更困难。
用户还可以使用官方的Trezor Suite检查他们的钱包是否运行正确的固件,该套件包括一个使用随机挑战的验证步骤。Trezor指出,用户应在发布升级时将设备更新到最新的固件版本,并且如果有篡改的迹象,应重置设备并在安全环境中恢复。
也许最重要的是,正如Bybit最近在其$15亿黑客攻击后了解到的那样,用户应始终知道他们是否正在与他们认为的应用程序或实体进行交互。考虑到今天某些攻击的复杂性,这一点很困难,这些攻击旨在通过“伪装”钱包的用户界面来掩盖恶意交易。然而,用户可以学习使用一个单独的、可信的设备(如干净的计算机)来避免任何风险。
如果这些听起来像是技术解决方案,值得再次指出的是,这些都是高度复杂的攻击。除非朝鲜的Lazarus集团能够找到一种方法在Trezor和最终用户之间的供应链过程中插入自己,否则不太可能大规模实施。相反,如果进行这种攻击,可能会针对高价值目标。然而,这并不是说用户不应该意识到这一点。
“在Ledger Donjon,我们的使命是推动安全的边界,以造福整个加密生态系统,”Ledger首席技术官Charles Guillemet说。“我们感谢Trezor对这一负责任的安全披露的响应,以及Trezor解决了我们发现的漏洞,展示了在加密领域持续改进和合作的重要性。”
免责声明:The Block是一个独立的媒体机构,提供新闻、研究和数据。截至2023年11月,Foresight Ventures是The Block的主要投资者。Foresight Ventures还投资于加密领域的其他公司。加密交易所Bitget是Foresight Ventures的主要有限合伙人。The Block继续独立运营,提供关于加密行业的客观、有影响力和及时的信息。以下是我们当前的财务披露。
© 2025 The Block. 版权所有。本文仅供信息参考。并不提供或意图作为法律、税务、投资、财务或其他建议。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
