Kraken:KeepKey硬體數字貨幣包在15分鐘內被黑客入侵
網路安全研究人員發現了KeepKey硬體錢包漏洞,據他們稱,該漏洞使對設備具有物理訪問許可權的攻擊者能夠在短短15分鐘內竊取設備上的資產。
該交易所博客上的Kraken Security Labs的員工描述了一種「電壓故障」攻擊,該攻擊可用於提取加密的種子短語,以訪問存儲在設備上的加密貨幣。然後,攻擊者可以破解種子短語,該種子短語受包含1到9位數字的PIN碼保護,作者將該密碼稱為「瑣碎的」任務。
他們說,與此同時,消除漏洞將是一個很大的問題,因為如果在硬體級別上不更改錢包,KeepKey團隊將無能為力。 Kraken Security Labs寫道:「由於KeepKey中使用的微控制器固有的漏洞,因此有可能進行攻擊。」
KeepKey錢包的分發由ShapeShift加密貨幣交易平台執行,該平台於2017年收購了製造公司。
諸如「電壓故障」之類的攻擊是通過利用微控制器的電源進行惡意操縱來進行的。根據研究人員的說法,組裝用於這種攻擊的易於使用的設備的成本約為75美元。在其幫助下,攻擊者將可以對設備下載的軟體的第一部分進行操作,在本例中為「 BootROM代碼」。
「儘管KeepKey代碼庫的主要部分基於Trezor One,但它們的代碼庫卻存在差異。 KeepKey團隊添加了一些機制,這些機制應使其固件不受第35屆混沌通信大會上在Wallet.Fail事件中演示的崩盤攻擊的影響。但是,現在證明這些措施是無效的。」 Kraken Security Labs解釋說。
照片:IhorL