点击图片查看原图
区快洞察消息,Kraken 安全实验室发布文章表示,Trezor 的硬件钱包产品 Trezor One 和 Trezor Model T 存在明显缺陷,攻击者可利用该缺陷窃取钱包数据。Kraken 在其文章中表示,黑客可以通过 15 分钟物理访问设备的情况下利用电压故障从 Trezor One 和 Trezor Model T 硬件钱包中提取密钥。该文章同时表示,自设计产品以来,Trezor 便意识到此漏洞。Kraken 首席安全官 Nick Percoco 表示,「该漏洞是 Trezor 硬件钱包中使用的微控制器固有的,这也是为什么 Trezor 知晓该漏洞但该漏洞仍然存在的原因,为了解决该问题,Trezor 本质上需要推出一种新设备」。Trezor 针对该博客文章在推特上回应称,「该类型的攻击不会远程发生,如果用户打开 BIP 39 密码短语,该攻击将不会起作用,密码短语完全可以杜绝成功攻击的可能性」。Trezor 同时表示,「已知晓 STM32 微芯片中的电压问题」,这将使得具有专门硬件知识的攻击者可以破解该设备,并建议「购买者将硬件钱包远离陌生人」。区快洞察此前报道,LEDger 硬件钱包的安全研究团队 Ledger Donjon 也曾于 2019 年 7 月发布报告称,攻击者可以从包括 Trezor One、Trezor T、Keepkey 和其他类似的 Trezor 设备中窃取出密钥种子,仅需 5 分钟和 100 美元的设备即可实现对这些钱包的攻击,且该漏洞无法通过补丁修复。
