Kraken Security Labs在KeepKey数字货币包中发现漏洞

研究公司Kraken Security Labs的员工在KeepKey硬件数字货币包中发现了一个漏洞，攻击者可以通过该漏洞获得对用户资产的访问权限。

研究人员报告说，攻击者可以通过物理方式访问设备，从而提取受1至9位PIN码保护的加密货币种子短语，因为这种保护可以通过简单的蛮力攻击来破解。同时，无法消除该漏洞，因为为此KeepKey需要在硬件级别更换钱包。

在KeepKey钱包中使用的微控制器上进行了“称为“电源故障”的攻击。 Kraken Security Labs员工表示，借助某些强大的恶意操纵，有可能影响设备下载的软件的第一个元素，在本例中为“ BootROM代码”。

你可以花大约75美元建造一个可以进行这种攻击的设备，但是研究人员描述了用户如何保护自己免受黑客攻击。首先，你需要尝试使除用户之外的任何人都无法物理访问该设备。如果用户丢失设备或被盗，则此漏洞可用于访问加密货币资产。

网络安全专家还建议通过KeepKey客户端扩展添加BIP39加密货币。该加密货币短语使用起来有点不方便，但是它没有存储在设备上，因此不容易受到攻击。研究人员指出：

“尽管KeepKey的大部分代码库都基于Trezor One，但它们仍然不同。 KeepKey开发人员添加了一些机制，这些机制被认为可以使钱包固件免受崩盘攻击。在Wallet.Fail事件中也展示了类似的攻击，但事实证明，所有这些措施均无效。”

—-

编译者/作者：不详

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。