在今年的MIT比特幣世博會上,硬件錢包廠商Ledger在會議現場演示了針對同行Trezor的五種攻擊方式,此后,該公司還在其官網公布了具體的漏洞細節。可以預料到是,很多購買Trezor或其仿品硬件設備的用戶們會坐不住了。還不了解這回事的讀者,可以先閱讀巴比特wendy小姐姐報道的這篇文章:《硬件錢包安全團隊屢出奇招,Ledger向同行Trezor下手了》那么,我們是否就可以說,Trezor是不安全的,而Ledger就是更好的選擇呢?當然不能如此簡單下定論,我們也要聽聽另一方的解釋。根據Trezor方面給出的回應來看,Ledger所提到的漏洞,均需物理訪問,其中有部分已被Trezor解決,部分屬于所有硬件設備都存在的問題,其余部分則是當前所有基于ST微芯片設備存在的問題,這也包括Ledger本身。通過這起事件,我們可以了解到,沒有任何一個硬件錢包是可以做到100%安全的,重要的是用戶要提高安全意識。以下為Trezor方面的回應:
美聯儲柯林斯:還沒有決定央行的數字貨幣是否適合我們:11月4日消息,美聯儲柯林斯表示,還沒有決定央行的數字貨幣是否適合我們。[2022/11/5 12:18:33]
我們希望借此機會解決、澄清以及回應Ledger在MIT比特幣世博會上針對Trezor提出的聲明。簡單回應:
供應鏈攻擊:超出范圍,影響運輸中的所有硬件,沒有100%的解決方案,所有公司都有不同的方法來緩解這一問題;軟件漏洞攻擊:不可利用,已修復;側通道PIN攻擊:已修復;側通道攻擊標量乘法:不可利用,需要PIN;意外結束攻擊:未完全披露,對基于ST微芯片的所有硬件設備都有影響,可通過口令緩解;首先,我們要強調的是,這些攻擊都不是可遠程利用的。所有演示的攻擊向量,都需要物理訪問設備,攻擊者需要使用專用設備,并掌握專業的攻擊技術,最后還需要時間。這就是為什么我們認為,這些問題對于絕大多數硬件錢包用戶來說,它們的重要性是較低的。最近與幣安合作展開的研究證實了這一點,只有5.93%的受訪者認為物理攻擊是對加密貨幣的最大威脅,而66%的受訪者認為遠程攻擊是主要威脅。這5.93%的人群,可通過使用密碼短語進行保護,通過這種方式可覆蓋設備和恢復種子的物理安全性。
聲音 | 加拿大央行副行長:目前沒有理由發行數字貨幣,但可預見未來需為此做好準備:加拿大央行(Bank of Canada)副行長Timothy Lane周五表示,該國央行目前沒有理由發行數字貨幣,但可以預見未來可能需要為此做好準備。Lane表示:“當我們思考這個問題(央行數字貨幣)的時候,我們無法真正看到在當前情況下這樣做的可信理由,但是我們可以合理地看到世界正在發生變化,這種變化實際上可以使我們非常認真地考慮這個問題,一旦出現這種情況,就要做好準備。”(溫哥華太陽報)[2019/11/16]
幣安的安全調查結果,樣本為14471名受訪者硬件錢包的主要用途,始終是保護資金免受惡意軟件攻擊、計算機病和各種其他遠程威脅的侵害。雖然實現完美的物理安全是一個崇高的目標,但這一目標最終還是無法實現的,這是因為5美元扳手攻擊的存在。此外,如果一個人有足夠的資金、時間和資源,沒有硬件障礙可抵御住他們的攻擊。如果我們考慮到意外盜竊,那么他發現你的硬件錢包,并偶然擁有攻破這些設備所需裝備,其可能性是相對較小的。
金色財經現場報道 系統上沒有絕對的安全都是相對的:金色財經現場報道,EOS區塊鏈平臺漏洞媒體溝通會上,360官方人員表示,“其實一個系統上沒有絕對的安全,都是相對的。EOS代碼也會產生持續的變動,360也會持續的觀察其中存在的安全問題。此前360針對多款主流錢包分析發現80%存在安全問題,360列出的安全問題也是希望業內能夠了解和改正,同時360也推出了相應的錢包解決方案,規避安全問題。”[2018/5/29]
5美元扳手攻擊,https://xkcd.com/538/我們在設計Trezor設備時,考慮了上面解釋的威脅模型——我們的主要重點是保護用戶免受遠程攻擊。也就是說,結合強大的密碼和至少基本的操作安全原則,即使是Ledger所提出的物理攻擊,也不會影響到Trezor用戶。知道了這一點,讓我們看看Ledger在周日所提到的問題。問題1-供應鏈攻擊
機構投資者在二月依然沒有出售加密貨幣基金:根據投資公司Context Capital Partners LP在2月份的調查顯示,幾乎一半的機構投資者,如養老基金、財富管理辦公室、主權財富基金等等都沒有出售加密貨幣基金,至少在二月份還沒有。超過四分之一的受訪者表示,加密貨幣是“合法的資產類別”,而幾乎相同數量的受訪者認為是欺詐行為,47%受訪者不確定。[2018/4/7]
“供應鏈攻擊”是所有硬件設備都存在的永恒問題,無論它們受到多大程度的保護。一件硬件無法檢查自身,并驗證其完整性。硬件認證并不是一個解決方案,因為硬件修改是可被添加的,這會導致設備確認它是真的。此外,我們所有的制造過程都是在歐盟,在那我們會緊密控制整個制造過程。
演示將任意恢復詞注入到Ledger硬件錢包,演示人:SaleemRashid問題2-軟件漏洞攻擊
在Trezor代碼庫測試期間,Ledger研究人員發現了兩個問題,他們也確認了我們的代碼對惡意行為者的抵抗力很強。盡管這些漏洞無法利用,但我們還是修復了它們。我們想利用這個機會,感謝Ledger再次確認Trezor源代碼是高質量編寫的。問題3-側通道攻擊PIN
在TrezorOne錢包上的側通道攻擊PIN確實是令人印象深刻的,我們贊揚Ledger的努力。同時,我們要感謝Ledger負責任地向我們披露這個問題。這種攻擊向量,可通過將TrezorT模型上的數據存儲方式向后移植到TrezorOne而解決。問題4-側通道攻擊標量乘法
此漏洞假定攻擊者擁有用戶的PIN,并擁有對設備的物理訪問權限,以及最終的密碼短語。掌握了以上所有,攻擊者就完全掌握了硬件錢包所保管的所有資金。問題5+6意外結束攻擊
這兩個問題實際上是相同的,但6比5聽起來更好。盡管如此,我們對Ledger宣布這一問題感到驚訝,特別是在Ledger明確要求不公布這一問題之后,因為這可能會影響整個微芯片行業,而不僅僅是硬件錢包。由于Ledger目前正在與芯片制造商談判,我們也將避免泄露任何關鍵信息,除了此攻擊載體也是資源密集型的,其需要實驗室級的設備來操作微芯片以及深入的專業知識。Ledger,我們仍在和ST討論中,請不要提及攻擊細節,好嗎?如果你是一名Trezor錢包用戶,并害怕針對設備的物理攻擊,我們建議你設置一個受密碼保護的錢包。在最佳情況下,可使用多個密碼進行組合保護。密碼將完全緩解此攻擊向量。雖然應該贊揚硬件測試和遵守負責任的披露,但最后一個問題的披露,似乎還為時過早。SatoshiLabs首席執行官MarekPalatinus表示:我們要感謝Ledger實際演示了我們自設計Trezor以來所意識到的所有攻擊方式。因為我們意識到沒有硬件是100%安全的,所以我們引入了密碼短語的概念;除了合理的可否認性之外,還消除了很多物理攻擊,比如這次Ledger提到的。結論
Ledger在MIT比特幣博覽會上的陳述概要整個事件對我們來說是一個寶貴的教訓。我們需要傳達一些我們已知的信息:沒有硬件是不可破解的,根據你的安全模型,你可以使用一些工具來減輕威脅。而對于那些擔心物理攻擊的用戶來說,設置合理否認和操作安全的密碼是可行方法。而對于關注遠程攻擊的用戶來說,其實沒有發生任何變化。我們將在未來繼續推廣密碼短語功能,以及其他操作安全策略,以確保您的安全。
Tags:GEREDGEDGEEDGburger幣團隊ledger錢包官網打不開ethicaljudgementledger錢包無法同步錢還在嗎
3月30日,國家互聯網信息辦公室公開發布第一批197個區塊鏈信息服務名稱及備案編號,GoFun出行主體公司北京首汽智行科技有限公司推出了區塊鏈聯動平臺.
1900/1/1 0:00:00政策趨嚴之下“挖礦”還是門好生意嗎?功率限定的情況下哪家礦機回本快?云算力挖礦和直接購買通證哪個劃算?熊市挖礦如何對沖風險?主流通證挖礦難度將如何增長?敬請閱讀TokenInsight《2019.
1900/1/1 0:00:00文|昕楠、小派克4月11日,視覺中國占用人類首張黑洞照片的圖片版權事件引爆了有關其圖片版權產業的輿論.
1900/1/1 0:00:003月14日,區塊鏈共識算法及P2P網絡協議公司TendermintInc宣布獲得一筆900萬美元的A輪融資,Paradigm基金領投,貝恩資本、1confirmation等投資基金跟投.
1900/1/1 0:00:002019年一季度,數字通證交易所行業風云變幻。經歷了2018年下半年的漫長熊市,終于新的熱點出現并激蕩著市場,最終在4月2日以比特幣放量大漲700點而令人激動.
1900/1/1 0:00:00比特幣是怎么來的,很簡單:要么是你自己挖礦挖來的,要么是別人轉給你的,當然,別人轉給你的,最早的源頭也是來源于挖礦所得。所以,這一期我們先說挖礦,這是比特幣的一個初始分配.
1900/1/1 0:00:00