鏈聞消息,Kraken 安全實驗室發佈文章表示,Trezor 的硬件錢包產品 Trezor One 和 Trezor Model T 存在明顯缺陷,攻擊者可利用該缺陷竊取錢包數據。Kraken 在其文章中表示,黑客可以通過 15 分鐘物理訪問設備的情況下利用電壓故障從 Trezor One 和 Trezor Model T 硬件錢包中提取密鑰。該文章同時表示,自設計產品以來,Trezor 便意識到此漏洞。Kraken 首席安全官 Nick Percoco 表示,「該漏洞是 Trezor 硬件錢包中使用的微控制器固有的,這也是爲什麼 Trezor 知曉該漏洞但該漏洞仍然存在的原因,爲了解決該問題,Trezor 本質上需要推出一種新設備」。Trezor 針對該博客文章在推特上回應稱,「該類型的攻擊不會遠程發生,如果用戶打開 BIP 39 密碼短語,該攻擊將不會起作用,密碼短語完全可以杜絕成功攻擊的可能性」。Trezor 同時表示,「已知曉 STM32 微芯片中的電壓問題」,這將使得具有專門硬件知識的攻擊者可以破解該設備,並建議「購買者將硬件錢包遠離陌生人」。鏈聞此前報道,Ledger 硬件錢包的安全研究團隊 Ledger Donjon 也曾於 2019 年 7 月發佈報告稱,攻擊者可以從包括 Trezor One、Trezor T、Keepkey 和其他類似的 Trezor 設備中竊取出密鑰種子,僅需 5 分鐘和 100 美元的設備即可實現對這些錢包的攻擊,且該漏洞無法通過補丁修復。

來源鏈接