美國老牌加密貨幣交易所 Kraken 日前在其官方部落格釋出以 15 分鐘破解冷錢包 Trezor 的影片,並以文章詳述冷錢包的缺陷。
在幣圈有一定年資的加密貨幣持有者應該都聽過 Trezor,是目前冷錢包是最受歡迎的冷錢包之一。Trezor 冷錢包目前支援超過 100 種以上的加密貨幣。
目前主打的產品有標配版 Trezor 1 和進階版 Trezor Model T。
延伸閱讀:約會神器 Tinder 遭駭,從「1.6萬人」的 7 萬張照片流出事件,省思「中心化的信任成本」
根據官方文章,Kraken 的安全部門(Kraken Security Labs)僅花了 15 分鐘就破解了上述兩種冷錢包,包含拆解等錢包。
而過程中雖然僅花了 15 分鐘,但絕對不是想像中輕鬆。整個過程分成兩個步驟:
- 將冷錢包中的單晶片拆下:單晶片(Microcontroller)又稱單晶片微電腦(single-chip microcomputer),利用工具讓電壓故障,藉此拆下。而拆卸工具的成本大約是數百美元,但是 kraken 估計如果量產的話,一套設備僅需要 75 美元。
- 破解加密種子密碼(encrypted seed ¹):加密種子會受到 9 位數的密碼保護,而在暴力破解的情況下,破解密碼並沒有花多少時間。
[註*1]:種子就是產生隨機數的初始值,一半破解這個初始值,就可以知道產生隨機數的方式。
– Kraken 破解影片,影片來源:Kraken Youtube –
這個破解是基於單晶片本身的缺陷。而在不重新設計整個產品,這個漏洞很難改善,需要花大量時間。
延伸閱讀:國際駭客團體「匿名者」7,500 萬美元比特幣基金最新進度:「所有項目都已經投資完畢。」
延伸閱讀:幣安(Binance)遭駭的 7,000 顆比特幣去哪了?還原駭客組織攻擊後的「銷贓過程」
It took Kraken Security Labs just 15 minutes to hack both of @trezor’s crypto hardware wallets.
Here’s how we did it and what it means if you’re a user: https://t.co/5betNtDnD0
— Kraken Exchange (@krakenfx) January 31, 2020
互相漏氣求進步
早在去年十月,Kraken 就發現了這個漏洞。當時 Kraken Security Labs 就已經和 Trezor 聯絡。而在此之前不揭露漏洞的原因是不希望有心人士利用這個漏洞,且 Trezor 能夠利用一段時間去修補這個漏洞。
而 Trezor 冷錢包開發的 CTO 帕沃爾・魯斯納克(Pavol Rusnak )認為 Kraken 這種行為是促進產業進步,好事一樁。
「我們很高興 Kraken Security Labs 投入了大量資源來改善比特幣生態系統的安全,我們欣賞這種負責任的揭露漏洞,也很珍惜這種合作關係。」
Trezor 同時也在部落格對整件事件回應,文中表示一直以來都知道所有的硬體設備都是可以入侵的,他們只能盡可能地將時間延後。
「我們一直都知道所有的硬體設備都可以攻破,這個問題是何時被攻破,而不是可不可以攻破。」
?相關報導?
台灣冷錢包服務商 CoolBitX 推出「Sygna」系統,佈局 FATF 虛擬貨幣洗錢防制趨勢
深度追蹤|犯罪調查報告: 中國龐氏騙局PlusToken贓款兌現,恐為近日比特幣暴跌的背後原因
SBI 控股的日本交易所,採用台灣冷錢包 CoolBitX 的「Sygna」反洗錢系統
《BlockTempo動區動趨》LINE官方號開通囉~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!
