台灣地區滿$99免運,全球滿$199免運。 立即購買!

Kraken 安全實驗室於 1 月 31 日發布聲明,聲稱他們的研究團隊在不到 15 分鐘的時間內就破解了 Trezor 硬體錢包,原因是存在可被駭客利用的「無法修復」的設備漏洞。

所謂的「讀保護攻擊」與 2019 年 6 月 Ledger 的「種子提取攻擊」類似。該漏洞也與去年 12 月 Kraken 團隊攻破的Keepkey中發現的漏洞有關。

Trezor 可以透過提取的 PIN 碼解鎖

Kraken 安全實驗室對加密安全公司進行「道德駭客」攻擊,以提高加密貨幣儲存的整體安全性。

Kraken 在其網站上的一篇部落格文章中聲稱,他們在 2019 年 10 月發現了 Trezor 型號 Trezor One 和 Trezor Model T 的安全性嚴重缺陷,該缺陷可能被犯罪分子利用。

所需要的只是幾百美元的設備(KSL 估計批量生產的價格為 75 美元,Ledger 之前的定價為 100 美元)和 15 分鐘的實體存取。 Kraken 在他們的發現後向 Trezor 發出了警報,作為其負責任的披露政策的一部分,他們現在通知公眾以確保用戶的安全。

Kraken 是如何破解 Trezor 錢包的?

故障裝置
故障裝置(資料來源:Kraken.org)

簡而言之,這家安全公司是這樣做的:

  1. 他們使用該設備構建了一個“故障設備”,透過攻擊 STM32 微晶片來提取硬體錢包的加密種子。
  2. 然後,他們在幾分鐘內使用暴力破解加密種子(受 1-9 位 PIN 保護),從而獲得對設備的存取權。

您也可以在此處閱讀完整報告,或觀看下面的影片:

https://www.youtube.com/watch?v=6pKuHYwrGkU&feature=emb_logo

為什麼 Trezor 會被駭客攻擊?

Trezor 不使用安全元件,因此他們的設備容易受到物理駭客攻擊,設備被打開然後被篡改。

根據卡巴斯基實驗室的報告, Trezor 僅使用單一 STM32 晶片,這是一種基於 ARM 架構的通用微控制器,他們將私鑰儲存在其非揮發性快閃記憶體中。

打開的 Trezor
打開的 Trezor( 來源:gridplus.com)

卡巴斯基實驗室的報告還提供了有關如何破解 Ledger 設備的詳細資訊。有關 Kraken 如何做到這一點的分步演示, 請查看他們的部落格文章。

Trezor 漏洞可以修復嗎?

根據 Ledger 和 Kraken 的說法,不。 Kraken 安全實驗室表示,弱點在於 Trezor 錢包的微控制器,因此需要對冷儲存設備的設計進行徹底檢修。 Trezor 意識到了這一弱點,但尚未做出任何改變。

https://www.youtube.com/watch?v=q8jednQQFx4&feature=emb_logo
Ledger Donjon 在 2019 年也瞄準了 Trezor 的安全

Kraken 同時建議 Trezor 用戶使用 Trezor 用戶端啟動他們的 BIP39 密碼以保護錢包,因為它不會儲存在實際的硬體錢包中。

Trezor 對 Kraken 駭客攻擊的回應

特雷佐以不接受批評而聞名。在 Ledger Donjon 2019 年 3 月披露Trezor 模型中的多個漏洞後,Trezor 做出了措辭強硬的回應,用“5 美元扳手攻擊”謬論等論點進行反駁,指出你的設備有多安全並不重要,重要的是您如何保護您的私鑰和種子密碼免受入侵者的侵害。

這次,Trezor 承認了安全攻擊以及第三方道德駭客攻擊對於幫助提高加密產業整體安全性的重要性。

然而,Trezor 仍然堅持認為,駭客需要能夠實際存取硬體錢包,並且用戶有責任保護他們的 Trezors 和密碼免遭窺探和竊取。

CoolWallet 的觀點:使用安全元件

我們公司欽佩並尊重 Trezor 對加密貨幣行業的開創性貢獻,並於 2014 年中期創建了世界上第一個硬體錢包。

被駭客入侵的 Keepkey PIN 碼外洩(資料來源:Kraken.org)
被駭客入侵的 Keepkey PIN 碼外洩(資料來源:Kraken.org)

然而,我們確實與 Kraken、卡巴斯基和 Ledger 的其他安全專家一樣,認為這些漏洞是嚴重的漏洞,在可能實體存取設備的情況下,可能會使 Trezor 用戶的資金面臨風險。應該可以解決這個問題。

USB-form hardware wallets can be opened very easily and are therefore vulnerable to both supply-chain attacks (where the device is compromised before it reaches the end-user) or side-channel attacks (where the hacker intercepts or extracts sensitive information on the裝置).

因此,應考慮能夠抵禦物理駭客攻擊的額外安全措施。

安全元件是一個堅不可摧的微晶片

CoolWallet S (以及 Ledger Nano 等其他硬體錢包)使用CC EAL 5+ 安全元件安全元件是防止駭客攻擊的最佳防御手段,因為它可以鎖定私鑰並防止其洩漏給設備所有者。它在傳統金融和銀行業中用於保護銀行卡或存取金鑰等。

CoolWallet 的高級錢包復原流程
CoolWallet 的高級錢包復原流程

再加上纖薄的外形(可阻止防篡改攻擊)和防水性,無需將 CoolWallet S 藏在家中並擔心誰可以使用它。我們還有其他安全功能,例如透過按下卡片上的按鈕進行實體確認以及生物識別檢查,例如我們的應用程式密碼高級錢包種子恢復流程。

此外,CoolWallet S 可以放入您的真實錢包中,並且需要距離配對手機 10 公尺以內才能透過加密藍牙進行存取。這種便利性和安全性使您可以隨身攜帶硬體錢包,而不必擔心丟失資金。

CoolWallet S 具有防篡改功能並受安全元件保護

最新文章

View all

🔒 Beware of Scams: Protect Your Crypto Assets!
  • by Team CoolWallet

🔒 注意防範詐騙,保障您的資產安全!

目前加密貨幣圈詐騙案件層出不窮,為了保障您的財務安全,CoolWallet 和 CoolBitX 絕不會要求您: 傳送加密資產 提供或分享您的私鑰 若您收到任何要求此類資訊的訊息,請勿立即採取行動!在執行任何操作或點擊任何連結之前,請務必與 CoolWallet 客服團隊 確認其真偽。 此外,請確認您訪問的是 CoolWallet 官方網站,認明正確網域:coolwallet.io 您的安全是我們的首要任務,謹慎行動,避免上當受騙!

Read more

CoolWallet Now Supports Sui Blockchain: Securely Manage Your SUI and Tokens
  • by TeamProduct

CoolWallet Now Supports Sui Blockchain: Securely Manage Your SUI and Tokens

We’re excited to share that CoolWallet now supports Sui, one of the most talked-about blockchains in the crypto world! With this new integration, you can securely store and manage Sui’s native token, SUI, as well as other custom tokens on the...

Read more

Guide for Adding a Custom Network
  • by CoolWalletTeam

Guide for Adding a Custom Network

Learn how to add a Custom Networks, or EVM-compatible blockchain, to your crypto wallet, expanding access beyond official options now!

Read more