Kraken报告了KeepKey钱包中的安全漏洞
Kraken交易所报告了KeepKey钱包中的一个新漏洞,黑客可以通过访问该设备来揭露私钥。 Kraken在博客中指出,只有在对设备进行物理访问的情况下,才能利用此缺陷。
更糟糕的是,Kraken声称,盗窃私钥可能会在获得对设备的物理访问权后15分钟内发生。
“攻击利用了KeepKey中使用的微控制器内部的固有缺陷,” Kraken的测试人员解释说。
攻击是结合使用KeepKey的电子元件或电压毛刺造成的。然后将9位数字引脚强行解锁以解锁设备。 KeepKey生产者说,他们知道这种攻击,因此一般建议不要访问硬件钱包。资金仍然受到保护,免受远程攻击,因为远程攻击可能会窃取某些在线设备上的私钥。
Kraken还建议用户激活BIP39密码短语,这是确保资金安全的另一种方法,因为该密码短语未存储在设备上。 KeepKey最近还发布了一种新的方法,用于通过另外一个密码保护私钥:
🔒 Maximize your KeepKey Security and Enable BIP39 🔒
We recommend that KeepKey users maintain best practices, such as enabling a passphrase to help protect their crypto. https://t.co/fbRny9C2KT— KeepKey (@cryptokeepkey) December 11, 2019
研究人员已于今年9月发现了此漏洞,但先通知了KeepKey。现在,潜在攻击已向公众公开。
如果允许物理访问,则Ledger和Trezor均已发现漏洞。最近,将BTC私钥存储在实际耐用材料上的想法浮出水面。这也导致了围绕着芭蕾舞钱包的丑闻,后者实质上是一个印在金属上的纸钱包。
芭蕾舞最大的问题是预制的私钥,这些私钥是提前生成的,并可能被第三方污染或保存。
https://twitter.com/bitcoinization/status/1204409658171174912
各种类型的金属钱包也作为新奇物品出现:
They're here! .01 $BTC Sandblasted Silver & .05 BTC White metal wallets, limited to 100!
Don't miss these, the other denominations sold out within 48 hours!
Generate your own keys and affix them with provided sticker & hologram –https://t.co/gIWp5WS4sW@notsofast @hodlonaut pic.twitter.com/4F9Hj4AxMB
— Lynx Art Collection (@LynxCollection) November 10, 2019
但是,当使用这些钱包提供BTC时,接收者的最佳方法是将它们清空到一个钱包,在该钱包中没有其他人可以查看私钥。