上月 27 日,一群來自德國柏林的安全研究團隊 wallet.fail 於黑客年會 35c3(混亂通訊大會 — The 35th Chaos Communciation Congress)大會上聲稱成功對著名硬件錢包品牌 Ledger 及 Trezor 的產品進行實體攻擊。
該團隊的演講強調,在某程度上,該些硬件錢包並非完全安全,如有駭客能實體地接觸到錢包,則有機會被入侵。在德國萊比錫舉行的 35c3 大會上,名為「Poof goes your crypto」的演講中,由三人組成的 wallet.fail 隊伍稱成功對 Ledger 及 Trezor 品牌的硬件錢包產品作出一系列的攻擊和入侵。
wallet.fail 由專門研究硬件安全的專家 Josh Datko、Dmitry Nedospasov 和 Thomas Roth 於該演講中展示現時硬件錢包的發展仍有大量進步空間。他們表示,入侵這些硬件錢包需要從破壞啟動程式(Bootloader)的保護程序入手,更改硬件錢包的網絡介面,再繞過硬件錢包的晶片保安。他們指出同樣的問題在好幾個硬件錢包中亦有出現。
Trezor:不代表硬件錢包不安全
Parity Technologies 開發者 Afri Schoedon 認為 wallet.fail 主要在以下數個範疇中入侵硬件錢包:
- 從 Trezor 的隨機儲存記憶體(Random Access Memory,RAM)中取得密碼(PIN)和助記詞(Mnemonic Seed)。
- 透過已被入侵的 Ledger Nano S 簽署交易
- 對 Ledger Blue PIN 進行旁路攻擊(Side Channel Attack)
- 在 Ledger Nano S 的 Bootloader 中運行 snake 程式
此外,wallet.fail 列出了五種方向對硬件錢包作出攻擊:
- 結構方面(Architectural Vector)
- 韌體方面(Firmware Vector)
- 硬件方面(Hardware Vector)
- 實體方面(Physical Vector)
- 軟體方面(Software Vector)
他們指出這些漏洞需要以韌體更新、硬件更新及晶片設計的更新才能完全解決。好消息是,普通用戶應該不會面對安全問題,因為駭客需要實體地接觸到硬件錢包才能利用此漏洞。
對此,Ledger 亦強調,wallet.fail 所利用的漏洞本身是不切實際的。Ledger 團隊指出,wallet.fail 其實沒有從設備中取得任何 Seed Phrases 或 PIN 碼。
而 Trezor 表示將於 2019 年 1 月推出相關韌體更新,修正漏洞。與 Ledger 同樣認為 wallet.fail 沒有於演示上採用適當的披露手法。
Trezor 補充,實體攻擊對人們來說並不是一種嚴重的威脅,而只要用家一直管有設備,則可安全而放心地繼續使用。