Trezor硬件修复了Kraken Security Labs发现的“关键缺陷”

 
Kraken Security Labs能够从Trezor One和Trezor Model T提取种子
Kraken于2019年10月向Trezor披露了该漏洞，并且在硬件钱包团队找到修复程序后，Kraken将该漏洞公开了
令人震惊的消息是，加密货币交易所Kraken的安全实验室宣布，他们能够在Trezor硬件钱包中发现“严重漏洞”。
Kraken Security Labs周五宣布，他们已经设计出一种从Trezor One和Trezor Model T的加密硬件钱包中提取种子的方法。
攻击依靠电压故障提取加密的种子，该种子需要几百美元的设备，但可以75美元的价格批量生产。然后，用1-9位PIN码保护的加密种子被破解，这就是“琐事到蛮力”。
该团队发现，该攻击利用了Trezor钱包中使用的微控制器内在的缺陷，这意味着Trezor团队至少在没有重新设计硬件的情况下很难对此漏洞采取任何措施。
Trezor团队发布的修复程序
几周前，Kraken联合创始人兼首席执行官Jesse Powell建议人们不要将硬币存放在任何加密货币交易所中，即使是在Kraken上，也应该使用Ledger或Trezor。
现在，海妖安全实验室发现了一个漏洞，这意味着即使是硬件钱包也不安全。
但是有一个解决方案。禁止任何人实际访问Trezor钱包，否则您可能会永久丢失密码。
好吧，Trezor找到了修复程序并将其发布，因为正如Kraken所说，他们“于2019年10月30日向Trezor团队披露了此次攻击的全部细节。”它继续说，“我们现在就公开此漏洞披露，以便加密社区可以在Trezor团队发布修复程序之前保护自己。”
硬件钱包仍然是最佳选择吗?
用户必须使用Trezor客户端启用BIP39密码，因为它没有存储在设备上，这可以防止攻击。
Trezor在回应攻击时说，密码短语功能是主动防御物理攻击的“异常”安全层。
它不会存储在设备上的任何位置，仅在您每次输入时临时使用。密码区分大小写，并且属于恢复种子。
但是，Crypto Twitter震惊地听到了这一消息，但Trezor试图让所有人平静下来并澄清，“ Trezor是一个开放源代码的硬件钱包：我们确实没有使用安全元素来让任何人验证我们的代码，但这也是为什么存在Passphrase功能的原因–可以完全缓解物理攻击，例如6-根据我们的研究，有9%的人。”
Trezor竞争对手Ledger在缓解自己本身具有这种漏洞的担忧时说：“不用担心：使用安全元素，我们不会受到此影响。”
Ledger还强调指出，尽管如此，“硬件钱包仍然是保持加密货币安全的最佳选择。”