Trezor 爭先恐後地修補競爭對手 Ledger 標記的漏洞

在競爭對手 Ledger 披露後，Trezor 解決了其 Safe 3 和 Safe 5 硬件錢包中的一個安全漏洞，該漏洞發現了一種繞過 Trezor 現有的一些針對供應鏈攻擊的對策的方法。

Trezor 迴應 Ledger 的安全調查結果

硬件錢包提供商 Trezor 解決了其 Safe 3 和 Safe 5 型號中的一個漏洞，此前 Ledger 的 Donjon 團隊進行了安全審查，暴露了設備雙芯片架構中的潛在弱點。該漏洞被描述為“理論”威脅，只能通過複雜的物理供應鏈攻擊來利用，最有可能影響二手或三手設備。

在 Ledger 與 Trezor 分享其調查結果後，該漏洞被曝光，促使後者於 3 月 5 日公開披露

Trezor在 X.com 上說：

“Ledger Donjon 最近評估了我們的 Trezor Safe 系列，併成功重用了之前已知的攻擊，以演示如何繞過 Trezor Safe 3 中針對供應鏈攻擊的一些對策。”

繞過供應鏈保護

根據 Ledger 3 月 12 日的報告，其 Donjon 安全研究團隊設法重用了一種已知的物理攻擊方法，以演示如何在 Trezor 的 Safe 3 和 5 型號的微控制器上執行加密作——儘管存在保護措施。該微控制器與Trezor雙芯片設計中的安全元件芯片協同工作，被確定為新的潛在攻擊媒介。

雖然 Trezor 已經實施了固件完整性檢查來檢測被篡改的軟件，但 Ledger 證明了在特定條件下可以繞過這些保護措施。這表明，即使使用旨在阻止電壓毛刺等低成本攻擊的安全元件芯片，熟練的攻擊者也可能通過瞄準微控制器來破壞設備。

Trezor 問題修復並讓用戶放心

在對 Ledger 的調查結果進行內部審查後，Trezor 確認已採取措施緩解該漏洞。該公司強調，該漏洞不會對用戶構成直接風險，他們不需要採取任何行動。它重申，其分層安全方法在防禦供應鏈威脅方面仍然有效。

在關於X的一份聲明中，Trezor承認網絡安全的固有挑戰，並指出，雖然已經發布了固件補丁，但僅靠軟件更新並不能消除所有風險。該公司建議用戶只直接從授權零售商處購買設備，以儘量減少供應鏈篡改的風險。

安全標準行業合作

Ledger 的首席技術官 Charles Guillemet 稱讚了 Trezor 的迅速響應，並表示：

“在我們努力更廣泛地採用加密和數字資產的過程中，增強生態系統的整體安全性至關重要。”

近年來，Ledger 也面臨著自身的安全挑戰。2023 年，Ledger 連接器庫中的漏洞導致加密資金損失 484,000 美元。2020 年的另一起違規行為洩露了超過 270,000 名客戶的個人數據。

免責聲明：本文僅供參考。它不提供或打算用作法律、稅務、投資、財務或其他建議。