Kraken Security Labs演示Trezor钱包中的安全漏洞

Kraken安全实验室在Trezor品牌的硬件钱包中发现了一个安全漏洞。作为攻击的一部分，比特币交易所Kraken的安全团队用了不到15分钟的时间从设备读取了所有相关数据。 Trezor One和Trezor模型T.Kraken都受到1月31日攻击细节的影响，但Trezor团队于2019年10月30日通知了他们该漏洞。钱包制造商现在已经发表了自己的声明。

Kraken安全实验室在产生“电压尖峰”的设备的帮助下进行了攻击。根据该团队的说法，罪犯除了直接物理访问设备外，仅需要技术知识，而无需太昂贵的技术设备。攻击直接针对安装在Trezor设备中的STM32微芯片。由于该漏洞基于设备本身的结构，因此无法轻松修复。因此，Kraken和Trezor都强烈建议用户在Trezor客户端中激活BIP39密码短语。由于这不是存储在设备本身中，因此它代表了针对此类攻击的有效保护。

顺便说一句，KeepKey品牌的钱包也使用类似的硬件体系结构，这就是为什么它们也会受到相应漏洞的影响的原因。因此，Kraken安全实验室团队强调制造商不应依赖硬件作为唯一的安全层。特别是STM32芯片认为它们不适合存储比特币密钥和其他敏感数据。尽管有章鱼的知识，但Trezor和类似设备的使用者不应太着急。毕竟，很多加密盗窃仍然发生在互联网上。

章鱼只用了15分钟

Kraken安全实验室在其博客文章中提供了有关Trezor设备攻击的详细报告。因此，他们执行了以下操作：

我们的攻击始于通过错误注入攻击重新激活处理器的内置引导程序。该集成的引导加载程序具有读取设备闪存内容的功能，但是在执行命令期间检查芯片的保护。通过使用第二种错误注入攻击，可以绕过此检查，然后可以一次提取256个字节的所有设备闪存内容。通过重复攻击，可以提取所有Flash内容。

在团队像这样提取内容之后，他们所要做的就是破解保护密码资产密钥的PIN。为此，Kraken队采取了蛮力攻击。 PIN可能会在不到两分钟的时间内损坏。

—-

原文链接：https://www.btc-echo.de/kraken-security-labs-demonstriert-sicherheitsluecke-in-trezor-wallets/

原文作者：globalcryptopress

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。