Kraken安全实验室称Trezor的硬件钱包Trezor One和Trezor Model T存在明显缺陷，攻击者可以利用该缺陷窃取设备中存储的数据。

根据Kraken官方博客发布的文章，网络安全研究人员声称，只需要15分钟就可以物理破解该加密钱包。文章中还表示，“这种攻击依靠电压毛刺进行破解。最初的研究需要一些专门知识和几百美元的设备，但我们估计，我们（或犯罪分子）如果批量生产的话，成本只需要75美元。”

尽管只有在物理上访问该设备时才能利用此缺陷，但Kraken指出，只有通过彻底检查Trezor产品的基础设计，才能修复此缺陷。这涉及到更换核心组件（例如Trezor钱包中使用的微控制器）以包含更多与当前使用的通用芯片相比更安全的器件。

Kraken还表示，“这些芯片不是为了存储加密数据而设计的，我们的研究强调，像Trezor和KeepKey这样的供应商不应仅仅依靠这些芯片来保护您的加密货币。”

Kraken还建议用户使用Trezor Client激活其BIP39密码短语，这是保护钱包的另一种方法。尽管此密码短语实际使用时并不方便，但因为其没有存储在设备上，因此“可以防止这种攻击”。

Kraken的研究人员于去年10月发现了该漏洞，但他们首先向Trezor团队通报了他们的发现，然后在今天将细节向公众披露。他们补充说，这与KeepKey钱包中发现的漏洞非常相似，这使得黑客能够绕过制造商提供的保护提取微控制器闪存中的内容。

随后Trezor团队对此进行了回应，其表示，“必须注意，只有密码短语功能不能保护设备时，这种攻击才可行。强大的密码短语完全可以杜绝成功攻击的可能性。”

Trezor还表示，他们知道STM32微芯片中的电压问题，这使具有专门硬件知识的攻击者可以破解该设备。他们还建议将硬件钱包远离陌生人。

该硬件钱包开发商还建议用户在使用密码短语时先问自己几个问题，“您是否能够创建一个强大而难忘的密码短语？有谁知道你有多少比特币？您是否拥有足够的比特币成为值得攻击的目标？”

图片来源：pixabay

作者 Xiu MU

本文来自比推bitpush.news，转载需注明出处。