硬件故障使KeepKey对物理暴力攻击无能为力
领先的数字资产交易所Kraken在ShapeShift的KeepKey钱包中发现了一个硬件漏洞,允许可变的电压绕过打开钱包所需的密码。建议KeepKey客户确保其他人无法物理访问其钱包,并启用BIP 39密码以减少漏洞,2019年12月10日。
确保加密货币控股
有人可能会争辩说,硬件钱包旨在将加密货币与在线世界隔离开,因此防止物理攻击不在硬件钱包的范围之内。但是,如果电压故障可以打开硬件钱包,则表明制造商方面存在过失,并可能表明钱包存在其他缺陷。
Kraken会在各种条件下不断测试诸如硬件钱包之类的安全性基础架构,以尝试查找与KeepKey相同的漏洞。尽管该过程需要大量的技术知识,但该交易所估计,可以以75美元左右的价格制造出一种对消费者友好的故障设备,具有讽刺意味的是,该设备比钱包本身便宜。
Keep最大化KeepKey安全性并启用BIP39?
我们建议用户在#KeepKey和类似的硬件钱包上启用此密码短语。硬件钱包用户应保持最佳做法,例如使用密码短语来保护自己的资金。 https://t.co/jGY27ezDEn
-ShapeShift?(@ShapeShift_io)2019年12月11日
BIP 39是助记密码短语的实现,在大多数情况下由12-24个单词组成。使用此密码(而不是1-9位数的PIN)可以消除此漏洞,因为密码并不存储在设备本身上。对于经常使用KeepKey的人来说,这麻烦得多,但是这样做可以消除丢失资金的风险。
硬件钱包仍然是最安全的选择
关于硬件钱包是否仅用于脱机保护以及物理保护的哲学争论可以进行激烈辩论,但是即使存在此缺陷,硬件钱包仍然是最大化安全性的最佳选择。
Casa的CTO Jameson Lopp定期进行物理测试,以查看由不同金属结构制成的硬件钱包是否可以在火灾中幸存。这大致上与必须从各个方面保护硬件钱包的想法一致。
将自我监护权视为痛苦的机构将其外包给Coinbase,Anchorage和BitGo等实体。这些公司具有强大的内部机制,但鉴于一个众所周知的单一实体拥有数十亿美元加密的密钥,仍然存在风险。
对于那里的散户投资者来说,硬件钱包仍然是最好的选择,而Ledger是迄今为止唯一一个没有严重报道的钱包。