Kraken警告称,黑客可以在15分钟内劫持ShapeShift的数字货币包

网络安全研究人员披露了KeepKey加密货币硬件钱包中的一个明显漏洞,该漏洞使物理攻击者仅用15分钟即可窃取资金。

Kraken Security Labs的最新博客详细介绍了一种“电压故障”攻击,该攻击提取了用于访问设备上存储的加密的加密货币种子。

然后,攻击者可以用简单的1-9位PIN保护该加密的种子,该种子被公司称为“琐碎的”。

屏幕截图由Kraken Security Labs提供

更糟糕的是,研究人员警告说修复此缺陷绝非易事-据报道,如果不重新设计硬件,KeepKey团队将无法对此做任何事情。

Kraken Security Labs说:“攻击利用了KeepKey中使用的微控制器内部的固有缺陷。”

KeepKey钱包由加密货币交易所平台ShapeShift出售。

KeepKey显然需要完全重新设计

“电压故障”是指恶意控制微控制器的电源,在这种情况下,微控制器的电源属于数字货币包本身。该公司估计,可以以约75美元的价格制造出一款对消费者友好的“防滑装置”。

这些攻击的目标是在钱包加载时由钱包执行的第一软件。在KeepKey的情况下,这称为“ BootROM代码”。

Kraken Security Labs指出,通过供应商的固件采取的任何措施都无法可靠地阻止这种特殊的攻击。

“尽管原始的KeepKey代码库大部分基于Trezor One,但它们的代码库却有所不同。 KeepKey团队添加了几种缓解机制,以使KeepKey固件能够抵抗在第35届混沌通信大会上出现的钱包中出现的故障攻击;但是,这些被证明是无效的。”对该攻击的技术解释说。

这真的是最安全的方法吗?

“针对KeepKey的特定故障是基于Blackhat USA 2019上的Wallet.Fail和Chip.Fail对话。最重要的是,这项研究表明,像KeepKey这样的钱包的安全性不应仅基于加密的安全性。 STM32F205微控制器。

简而言之:此漏洞是KeepKey硬件本身的“固有”,无法修补。该公司警告说,底层硬件需要​​替换为新版本,以使其免受物理攻击。

如果您使用KeepKey数字货币包怎么办

听起来似乎很明显,但是该公司警告那些使用KeepKey数字货币包的人不应允许对其设备的物理访问以确保其资金安全。

研究人员然后强调说,KeepKey已经知道类似的攻击,但是它先前声称“ KeepKey的工作是保护密钥免受远程攻击,”而不是物理攻击。

Kraken Security Labs说:“虽然物理攻击肯定很难防御,但我们发现这种立场可能与其产品的品牌名称为'加密货币Security的下一个前沿'不符。”

然后研究人员指出,他们于今年9月11日向KeepKey披露了此次攻击的全部详细信息。

他们指出:“重要的是要理解,如果您在物理上丢失了KeepKey,则可以利用此漏洞访问您的加密货币。”

硬分叉已与KeepKey联系,以了解有关它计划如何应对此最新漏洞的更多信息,如果我们收到答复,它将进行更新。

资讯来源:由0x资讯编译自THENEXTWEB。版权归原作者所有,未经许可,不得转载
提示:投资有风险,入市需谨慎,本资讯不作为投资理财建议。请理性投资,切实提高风险防范意识;如有发现的违法犯罪线索,可积极向有关部门举报反映。
你可能还喜欢