ShapeShift否认Kraken声称KeepKey可以在15分钟内被黑客入侵的说法

KeepKey硬件钱包。资料来源：KeepKey，Instagram

在加密货币交易所Kraken报告了该产品的所有者的硬件钱包KeepKey中的漏洞之后，加密货币交易所ShapeShift回答说该报告具有误导性，并且攻击难以进行。

故事始于12月10日，当时Kraken Security Labs发表了一篇文章，称KeepKey钱包使用的微控制器内部存在固有缺陷，该缺陷允许仅使用c提取钱包中的种子。 15分钟的物理访问时间和c。价值75美元的DIY消费者友好型干扰设备。

ShapeShift今天回答说：“声称该设备可以在15分钟内被黑客入侵是一种误导。” “执行此攻击需要大量准备和专业知识以及专用设备，并假定设备实际拥有。”

由于ShapeShift声称Kraken安全团队在9月份与他们联系了该报告，因此此响应有些简短，但该公司已在6月和8月详细解决了该问题。说到这一点，KeepKey的第一个答复实际上是在Kraken发表声明后的几个小时，引用了前两个答复。他们分享了6月份的帖子，该帖子是对有关从钱包中提取种子的演讲的回应，该演讲是由硬件钱包行业的另一个主要参与者Ledger撰写的，其中从KeepKey中提取了私钥。

ShapeShift承认知道“关于在2017年收购KeepKey之前就产生了*自*起私钥的攻击”，并继续对其进行了描述。这两个帖子之间存在矛盾，因为ShapeShift的帖子今天说：“这是我们在2019年6月自我发现的问题，”这是在5月1日发布的漏洞报告之后，该漏洞报告在其详细的8月帖子中有所报道。 。我们已要求ShapeShift进行澄清。

同时，ShapeShift在6月表示，“与任何硬件钱包一样，”此漏洞是攻击者需要实际拥有您的KeepKey的漏洞。 KeepKey的工作是保护您的密钥免受远程攻击。”

所有KeepKey / ShapeShift的帖子和Kraken的帖子都同意防止攻击：

• 让其他人远离您的KeepKey；
• 使用KeepKey客户端启用您的BIP39密码短语。

对所有这些帖子的反应是多种多样的：人们有很多建议，但也有从ShapeShifts指令开始的抱怨。

说明不清楚：将我的BIP39种子词组上载到Dropbox，在这里我实际上在每个其他网站上重复使用了相同的密码。等我尖叫后立即去起诉你。 /秒

-Rich Sanders（@Raindropactual），2019年12月11日

我猜人们总是为轰动新闻而迷。 1）这是很久以前宣布的内容2）Kraken是@ShapeShift_io的竞争对手3）15分钟内被黑客入侵了吗？是的，如果您具有硬件并且知道您在做什么，那么4）保管好该死的钱包并使用短语。

-DanielRe（@LeRatton）2019年12月11日

有人说任何设备都可以以低价出售，而且价格便宜，有人认为解决这个问题将非常困难：“鉴于漏洞所在，他们必须重新设计硬件部分，并且他们认为自己的领域仅仅是防止遭受“远程”攻击。”一位Twitter用户说。

其他人则担心其他主要钱包的安全性，尤其是Trezor，有人在推特上写道：“由于cryptokeepkey是Trezor的克隆，是否有什么能防止对Trezor的相同攻击？我同意NVK（Rodolfo Novak）的观点，即安全芯片对于物理安全是必不可少的。但这需要可复制地构建开源固件以最小化信任。”
_____

学到更多：
如何保护您的绝对加密货币生命线-种子词
六种可供选择的备用硬件钱包
处于“过高期望”高峰期的数字货币包。下一步是什么？
将您的旧智能手机变成以太坊硬件钱包