近日,美國
加密貨幣交易所 Kraken 的安全實驗室(Kraken Security Lab)表示,硬件錢包 KeepKey 并不能很好地保護客戶免受物理攻擊,黑客僅需一臺價值 75 美元的設備就可以完成入侵。
Kraken 在周二的一篇博客中說:“只需要大概 15 分鐘就可以破解 KeepKey”。
Kraken 安全實驗室曾在 6 月 13 日援引其母公司 Shapeshift 的一份聲明,稱盡管 KeepKey 已經意識到存在這樣的物理攻擊風險,但其重心仍放在保護用戶密鑰免受遠程攻擊上。
這種物理攻擊的原理是通過一臺價值 75 美元的電壓故障設備(voltage glitching device)來提取用戶用于恢復和備份錢包的助記詞。
但 CoinDesk 收到的聲明顯示,
數字貨幣交易所 Shapeshift 首席信息安全官邁克爾·珀克林(Michael Perklin)認為 Kraken 安全實驗室的聲明具有誤導性。
Shapeshift 于 2017 年 8 月以未披露的金額收購了硬件錢包初創公司 KeepKey,用于為交易所用戶提供開發技術和安全保障。
珀克林認為:“這種攻擊不僅需要占有物理設備,還需要專業設備和大量的專業知識儲備。”
“只有攻擊者對所需要的知識有非常深入的理解,才有可能以這么低的成本完成入侵,” 他補充道,“普通人對硬件設計和計算機科學的了解有限,他們不具備花 75 美元去挑選零件并成功地組裝攻擊設備的能力。”
Kraken 安全實驗室在其博客中表示,物理攻擊確實很難防御,但 Keepkey 對遠程攻擊的關注 “并不符合其對產品的宣傳”。
珀克林回應稱,在收到 Kraken 的通知前,KeepKey 就已經采取了相應措施,保護用戶免受潛在的物理攻擊。
“我們建議用戶使用可以生成確定性密鑰的 BIP39 助記詞,從而增加一層額外的安全保護,” 珀克林說,“設置過程并不復雜,我們在 6 月 13 日的聲明中就提供了詳細教程。”
這種物理攻擊難以防范的原因之一是 KeepKey 必須重新設計硬件。Kraken 安全實驗室聲稱,黑客很可能利用硬件的 “固有缺陷”,只有更換錢包的微控制器才能解決這一問題。
博客文章稱:“最重要一點是,黑客通過漏洞來竊取數字資產的前提是已經獲取設備實體。”
“這有點像門鎖,無論你換一個什么樣的鎖,擁有足夠時間和專業知識的人總能撬開它。” 他補充道:“重新設計 KeepKey 或者使用不同的微控制器可以減緩攻擊者的速度,但并不能徹底解決這個問題。只要黑客有足夠的技術、時間和決心,他們終究都能夠完成入侵。
Kraken 安全實驗室表示,他們在 9 月 11 日向 KeepKey 披露了這一攻擊威脅的全部細節,現在公開是為了幫助社區成員加強自我保護。Shapeshift 在此之前就已經確認了這些信息,并向其用戶提出了使用 BIP39 助記詞的要求。
版權申明:本內容來自于互聯網,屬第三方匯集推薦平臺。本文的版權歸原作者所有,文章言論不代表鏈門戶的觀點,鏈門戶不承擔任何法律責任。如有侵權請聯系QQ:3341927519進行反饋。
