硬件钱包提供商Trezor在其最新的两款型号中修复了一个安全漏洞,此前竞争对手Ledger的开源研究部门发现了它们微控制器中的一个漏洞。
Ledger Donjon承认,Trezor近期确实进行了多项安全改进,但仍然发现Trezor的Safe3和Safe5型号的微控制器上仍可以执行加密操作,这可能使其“容易受到更高级攻击”。
Ledger首席技术官Charles Guillemet3月12日在X平台发文表示:“幸运的是,Trezor已经解决了发现的漏洞。”
他补充道:“我们相信,提升整个生态系统的安全性对大家都有帮助,并且在推动加密货币和数字资产的广泛应用过程中至关重要。”
来源:Charles Guillemet
Trezor已经在其设备中引入了“安全元件”(Secure Elements)——这是一种专门设计用于保护用户PIN码和加密信息的芯片,因为此前发现部分Trezor设备可能通过修改其运行的软件而被篡改,从而可能导致威胁行为者窃取用户资金。
Ledger在3月12日发文表示,安全元件功能“有效阻止了任何低成本硬件攻击,特别是电压故障攻击”。
“这使用户相信,即使设备丢失或被盗,他们的资金也是安全的。”
然而,Ledger发现了另一个潜在的攻击途径,该途径源于微控制器——这是Trezor Safe3和Safe5型号双芯片设计中的另一个主要部分。
Trezor实施了固件完整性检查以检测软件是否被篡改,但Ledger能够证明攻击者仍然可以绕过这一安全检查。
目前,Trezor已经解决了这一问题,尽管Ledger和Trezor均未详细说明具体的修复方式。Cointelegraph已联系Trezor,但尚未收到即时回复。
Trezor Safe3 型号中的Trezor微控制器。来源:Ledger
Trezor在X平台上确认,用户资金仍然安全,且无需采取任何行动。
然而,当被问及Trezor是否能够通过固件更新修复此问题时,该硬件钱包提供商回应称:“遗憾的是,无法通过固件修复。”
“在网络安全领域,黄金法则很简单:没有什么是完全无法攻破的。正因如此,我们已经实施了多层防御机制来应对供应链攻击,并始终建议用户从官方渠道购买产品。”
Ledger也并非对安全漏洞免疫。
2023年12月,一名黑客入侵了Ledger的连接器库,窃取了价值48.4万美元的加密资产。
此外,2020年6月,另一名入侵Ledger系统的威胁行为者泄露了约27万名Ledger客户的邮寄地址。