Kraken：KeepKey硬件数字货币包在15分钟内被黑客入侵

网络安全研究人员发现了KeepKey硬件钱包漏洞，据他们称，该漏洞使对设备具有物理访问权限的攻击者能够在短短15分钟内窃取设备上的资产。

该交易所博客上的Kraken Security Labs的员工描述了一种“电压故障”攻击，该攻击可用于提取加密的种子短语，以访问存储在设备上的加密货币。然后，攻击者可以破解种子短语，该种子短语受包含1到9位数字的PIN码保护，作者将该密码称为“琐碎的”任务。

他们说，与此同时，消除漏洞将是一个很大的问题，因为如果在硬件级别上不更改钱包，KeepKey团队将无能为力。 Kraken Security Labs写道：“由于KeepKey中使用的微控制器固有的漏洞，因此有可能进行攻击。”

KeepKey钱包的分发由ShapeShift加密货币交易平台执行，该平台于2017年收购了制造公司。

诸如“电压故障”之类的攻击是通过利用微控制器的电源进行恶意操纵来进行的。根据研究人员的说法，组装用于这种攻击的易于使用的设备的成本约为75美元。在其帮助下，攻击者将可以对设备下载的软件的第一部分进行操作，在本例中为“ BootROM代码”。

“尽管KeepKey代码库的主要部分基于Trezor One，但它们的代码库却存在差异。 KeepKey团队添加了一些机制，这些机制应使其固件不受第35届混沌通信大会上在Wallet.Fail事件中演示的崩盘攻击的影响。但是，现在证明这些措施是无效的。” Kraken Security Labs解释说。

照片：IhorL