Kraken：KeepKey硬體數字貨幣包在15分鐘內被黑客入侵

網路安全研究人員發現了KeepKey硬體錢包漏洞，據他們稱，該漏洞使對設備具有物理訪問許可權的攻擊者能夠在短短15分鐘內竊取設備上的資產。

該交易所博客上的Kraken Security Labs的員工描述了一種「電壓故障」攻擊，該攻擊可用於提取加密的種子短語，以訪問存儲在設備上的加密貨幣。然後，攻擊者可以破解種子短語，該種子短語受包含1到9位數字的PIN碼保護，作者將該密碼稱為「瑣碎的」任務。

他們說，與此同時，消除漏洞將是一個很大的問題，因為如果在硬體級別上不更改錢包，KeepKey團隊將無能為力。 Kraken Security Labs寫道：「由於KeepKey中使用的微控制器固有的漏洞，因此有可能進行攻擊。」

KeepKey錢包的分發由ShapeShift加密貨幣交易平台執行，該平台於2017年收購了製造公司。

諸如「電壓故障」之類的攻擊是通過利用微控制器的電源進行惡意操縱來進行的。根據研究人員的說法，組裝用於這種攻擊的易於使用的設備的成本約為75美元。在其幫助下，攻擊者將可以對設備下載的軟體的第一部分進行操作，在本例中為「 BootROM代碼」。

「儘管KeepKey代碼庫的主要部分基於Trezor One，但它們的代碼庫卻存在差異。 KeepKey團隊添加了一些機制，這些機制應使其固件不受第35屆混沌通信大會上在Wallet.Fail事件中演示的崩盤攻擊的影響。但是，現在證明這些措施是無效的。」 Kraken Security Labs解釋說。

照片：IhorL