硬件钱包供应商 Ledger 已向 Trezor 证明,它可以绕过 Trezor Safe 3 和 5 型号的安全控制,从而促使 Trezor 修复了这一漏洞。
硬件钱包供应商 Trezor 在 Ledger 的开源研究部门发现其微控制器存在漏洞后,修复了两款最新产品的安全漏洞。
Ledger Donjon 承认 Trezor 最近在安全方面做了一些改进,但指出 Trezor Safe 3 和 Trezor Safe 5 型号中的微控制器仍然可以执行加密操作,这使它们 "容易受到更复杂的攻击"。
Ledger 首席技术官 Charles Guillemet 在 3 月 12 日的一篇文章中说:"不幸的是,Trezor 已经修补了发现的漏洞。
。At @Ledger,您可能知道我们有一个@DonjonLedger,我们的专业团队一直在进行公开的安全研究。
- Charles Guillemet (@P3b7_) 2025年3月12日
我们最近与 Trezor 合作,发现他们的 Trezor Safe 3 容易受到物理供应链攻击。以下是我们的研究结果:🧵 pic.twitter.com/CORDOQWRYg
X
"我们认为,提高生态系统的安全性对每个人都有好处,而且对鼓励更多采用加密货币和数字资产至关重要,"Guillemet 补充道。
Trezor已经采用了旨在保护用户PIN码和加密机密的 "安全元素 "芯片,因为一些Trezor设备可能会被黑客通过修改其运行的软件来窃取用户的资金。
Ledger在 3 月 12 日的一份公告中表示,安全元件功能 "可有效防止任何低成本的硬件攻击,尤其是电源故障"。
"即使设备丢失或被盗,这也可确保用户资金的安全"。然而,Ledger 发现另一个潜在的攻击向量来自微控制器,这是 Trezor Safe 3 和 5 型号双芯片设计的另一个核心元件。
Trezor 解决了固件完整性检查漏洞
Trezor 实施了固件完整性检查来检测被篡改的软件,但 Ledger 能够证明攻击者仍然可以绕过这一安全检查。
此后,Trezor 修复了这一问题,但 Ledger 和 Trezor 都没有解释是如何修复的。
Trezor 在 X 上确认,用户的资金仍然安全,无需采取任何行动。
。嗨,您的资金仍然安全,无需采取任何行动。Ledger Donjon 重复使用了之前已知的攻击,绕过了我们在 Trezor Safe 3 中针对供应链攻击的一些对策。不过,从官方渠道购买的用户是完全安全的🔒
- Trezor (@Trezor) 2025年3月12日
X
然而,当被问及 Trezor 是否能够通过固件更新来纠正这一问题时,硬件钱包供应商回答说:"很遗憾不能。
"在网络安全领域,金科玉律很简单:没有什么是完全无懈可击的。这就是为什么我们已经针对供应链攻击实施了多层保护,并始终建议我们的用户从官方渠道购买。"
2023 年 12 月,一名黑客入侵了 Ledger 的连接器库,盗取了价值 48.4 万美元的加密货币。
另外一名黑客入侵了 Ledger 的系统,并在 2020 年 6 月公布了大约 27 万名 Ledger 客户的电子邮件地址。
尽管 Trezor 已经修补了 Ledger 发现的最新安全漏洞,但人们仍然担心通过微控制器进行攻击的潜在途径。
两家公司都强调了持续改进安全性和多层保护以保护用户资金的重要性。尽管过去曾发生过影响加密货币硬件钱包行业的漏洞,但 Trezor 再次向用户保证,他们的资金仍然安全,无需立即采取行动。
