Trezor回应钱包漏洞，攻击者窃取加密货币需取得物理设备

Kraken安全实验室公开了Trezor硬件钱包的一个重要缺陷。更具体地说，这个缺陷是针对Trezor One和Trezor Model T的。可怕的是，这个安全团队仅用了15分钟就成功利用了这个缺陷。Kraken建议Trezor硬件钱包的用户不要把钱包交给陌生人。此外，用户应该启用他们的BIP39密码。

就此，Kraken安全团队在过去几个小时里发布了一篇文章和一段相应的视频，展示了Trezor硬件钱包是如何被入侵的。 “这种攻击依赖于电压故障来提取加密种子。这项初步的研究需要一些专业知识和几百美元的设备，但我们估计我们（或罪犯）可以大规模生产出一种消费者友好的故障设备，售价约为75美元。” “然后我们破解了加密种子，它由一个1-9位密码保护，但对暴力破解来说是微不足道的。” Kraken团队指出，这些攻击是由于“微控制器本身的缺陷”。这意味着，如果不重新设计硬件，Trezor什么都做不了。

其他安全公司如Ledger Donjon和Trezor自己也知道这个问题，但Kraken是第一个将其公开的。

Trezor回应称，攻击者确实可以篡改用户的设备。他们进一步指出，这将是可见的，也就是说攻击者将不得不打开物理外壳，以访问设备的STM32微芯片。就像Kraken所说，他们建议你把设备放在远离陌生人的地方。

在币安2018年12月的安全调查中，担心物理攻击的受访者不足6%。Trezor表示，尽管关注物理攻击的人少之又少，但他们却非常重视。

在使用密码短语时，Trezor建议你在继续之前问自己一些问题。这些问题是硬件钱包制造商无法回答的，如果用户觉得必要，就应该自行选择启用密码短语功能。 “你是否能创建安全又好记的密码？是否有人知道你持有多少比特币？你持有的比特币数量是否会让你成为一个有价值的目标？” 密码短语的主要优势是它不会存储在设备的任何地方，因此不能由第三方提取。与此同时，这也带来了一个风险：如果你丢失或忘记了你的密码，没有人能帮你找回它。

对于加密货币持有者来说，物理硬件钱包是保护加密货币安全的最佳选择之一。这是因为在线钱包很可能通过互联网向全世界数百万人展示其缺陷。而本次部分Trezor型号的漏洞表明，硬件钱包并不是最终答案，加密货币持有者仍需谨慎。

—-

编译者/作者：Wendy

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。