Trezor钱包可能被黑客入侵，Kraken透露

 
Kraken Security Labs在1月31日透露。Trezor硬件钱包及其派生工具可以被黑客窃取以提取私钥。尽管该过程相当复杂，但Kraken声称“仅需15分钟即可物理访问设备”。
攻击需要对Trezor钱包进行物理干预，方法是提取其芯片并将其放置在特殊设备上，或者焊接几个关键连接器。
然后必须将Trezor芯片连接到“ glitcher设备”，该设备将在特定时刻发送信号。这些措施破坏了内置保护，防止了外部设备读取芯片的内存。
该技巧使攻击者可以读取关键的钱包参数，包括私钥种子。
尽管种子是使用PIN生成的密钥加密的，但研究人员仅用了两分钟就可以对组合进行暴力破解。
该漏洞是由Trezor使用的特定硬件引起的，这意味着该公司无法轻松修复它。它将需要完全重新设计钱包，并召回所有现有模型。
同时，Kraken敦促Trezor和KeepKey用户禁止任何人实际访问钱包。
在Trezor发布的协调响应中，团队将漏洞的影响降至最低。该公司认为，由于需要打开设备，该攻击将显示出明显的篡改迹象，同时还指出，该攻击需要极其专门的硬件才能执行。
最后，该团队建议用户激活钱包的密码功能，以防止受到此类攻击。密码永远不会存储在设备上，因为它会被添加到种子中以动态生成私钥。 Kraken还指出，这是一个可行的选择，尽管研究人员称其为“在实践中使用起来有点笨拙”。
该功能还为每个用户增加了重大责任。密码短语必须足够复杂，以免轻易被强行使用，并且忘记了密码将完全使用户无法使用他们的钱。
Cointelegraph向Kraken寻求更多细节，但截至发稿时尚未收到任何回复。随着更多信息的可用，本文将进行更新。