[[254855]]

最近，一組安全研究人員為我們展示了某些加密貨幣硬件錢包的安全性是何等的脆弱。其中，這些專家針對(duì)Trezor One、Ledger Nano S和Ledger Blue進(jìn)行了供應(yīng)鏈攻擊和側(cè)信道攻擊方面的安全測(cè)試，發(fā)現(xiàn)其中存在芯片和固件級(jí)的安全漏洞。

實(shí)際上，這項(xiàng)研究工作是Dmitry Nedospasov、Thomas Roth和AD Josh Datko于今年6月著手進(jìn)行的，最終，他們找到了多種可以突破目標(biāo)加密貨幣錢包的安全防線的攻擊方法。

他們?cè)贑haos Communication Congress大會(huì)上，展示了相關(guān)的攻擊手法，例如在這些設(shè)備到達(dá)最終用戶手中之前對(duì)其進(jìn)行篡改，或直接用“贗品”替換它們。

真的是原包裝嗎?

供應(yīng)商通常會(huì)在錢包包裝盒或設(shè)備本身的外殼上面貼上一張"封條"，以作為安全標(biāo)簽。一張完好無損的貼紙可以保證沒有人能接觸到該錢包及其電子元件。

然而，Josh Datko卻證明，對(duì)于善于使用吹風(fēng)機(jī)的攻擊者來說，突破這種防篡改的防線簡直是小菜一碟，只要他們多加小心，并且不要使用高溫即可。

Datko為我們演示了如何從Trezor One Box和Trezor T的USB端口上完好無損的揭下標(biāo)簽。他說，標(biāo)簽脫落時(shí)，基本上沒有任何殘留物，即使留下了部分膠水的印記，也可以用電子設(shè)備專用的液體來進(jìn)行清洗。

[[254856]]

此外，Ledger的設(shè)備根本就沒有提供防篡改密封件，因?yàn)槊看瓮姸紩?huì)進(jìn)行完整性檢查。同時(shí)，相關(guān)的供應(yīng)商還說，“安全元件”芯片“能夠阻止所有攔截或物理替換的行為。

”在繞過安全貼紙這道防線后，Datko開始打開錢包的外殼，這一步也不是什么難事，拆開后，就可以訪問內(nèi)部硬件組件了。

[[254857]]

研究人員說，對(duì)于Trezor錢包來說，甚至可以替換其微控制器。“一旦在Trezor設(shè)備上完成了上面的操作，就可以將做過手腳的bootloader植入其中。”雖然他沒有具體演示這一過程，但告訴觀眾，他能夠通過連接硬件調(diào)試器，從而自由訪問芯片，因此，攻擊者可以用惡意代碼來刷新組件。

除此之外，Datko還進(jìn)行了更深入的探索：在一個(gè)裝有廉價(jià)硬件植入物的Ledger錢包上做了手腳，這樣，他就可以在無需用戶交互的情況下核準(zhǔn)交易了。

只需花費(fèi)3.16美元，借助一個(gè)射頻(目前，至少有1100萬種帶有50瓦的發(fā)射器)遠(yuǎn)程觸發(fā)的開關(guān)，就能將這件事情搞定。盡管已經(jīng)遭到了篡改，Ledger錢包仍然順利通過了Windows平臺(tái)上的原裝測(cè)試。

[[254858]]

Ledger Nano S的bootloader的漏洞

在軟件方面，研究人員對(duì)固件升級(jí)過程進(jìn)行了逆向分析，發(fā)現(xiàn)了一個(gè)允許攻擊者在設(shè)備上編寫自定義固件的安全漏洞。

實(shí)際上，供應(yīng)商已經(jīng)為boot命令添加了一些保護(hù)措施，即使用加密函數(shù)來檢測(cè)固件映像的合法性。如果驗(yàn)證得以通過，則將常數(shù)0xF00BABE寫入一個(gè)存儲(chǔ)地址。

不過，該檢查只會(huì)執(zhí)行一次，也就是說，并非在每次設(shè)備啟動(dòng)時(shí)都會(huì)進(jìn)行這項(xiàng)安全檢查。所以，這里的目標(biāo)是將常數(shù)0xF00BABE寫入特定的地址。

事實(shí)證明，Ledger的硬件錢包為了防止意外燒寫bootloader，已經(jīng)將整個(gè)內(nèi)存區(qū)域列入黑名單，這是作為一項(xiàng)保護(hù)措施提供的。然而，研究人員卻可以利用這一點(diǎn)，將相應(yīng)的常數(shù)寫到一個(gè)未被排除在外的地址，并進(jìn)一步將其映射到可接受的地址。為了證明上述攻擊的可行性，研究人員將游戲Snake的某個(gè)版本燒寫到了芯片中，并能借助該設(shè)備的兩個(gè)按鈕來控制小蛇在微型顯示器上移動(dòng)。

[[254859]]

針對(duì)Ledger Blue的側(cè)信道攻擊

通過考察Ledger Blue的內(nèi)部結(jié)構(gòu)，Thomas Roth發(fā)現(xiàn)，該設(shè)備上安裝了一根長長的導(dǎo)線，用于把信號(hào)傳到屏幕上。此外，它還會(huì)充當(dāng)天線，當(dāng)設(shè)備連接到USB電纜時(shí)，它的信號(hào)就會(huì)被放大。

使用軟件定義的無線電設(shè)備，人們可以捕獲無線電波，并分析其模式，從而破解發(fā)送到屏幕上的內(nèi)容。

[[254860]]

Roth創(chuàng)建了一個(gè)框架，通過在屏幕上輸入PIN數(shù)字來自動(dòng)記錄訓(xùn)練信號(hào)，并使用人工智能模型將其轉(zhuǎn)換為實(shí)時(shí)的信息。實(shí)驗(yàn)結(jié)果表明，其準(zhǔn)確率較高，能達(dá)90%以上，僅有1例預(yù)測(cè)錯(cuò)誤。

Trezor One錢包中的芯片級(jí)漏洞

Trezor One錢包的相關(guān)操作都由一個(gè)微控制器(STM32F205)來控制的，不過，在2017年，人們發(fā)現(xiàn)該控制器存在故障注入漏洞。

去年，Datko還無法確定是否可以通過故障注入漏洞來攻擊Trezor，但在CCC會(huì)議上，卻提出了不同的結(jié)論。

通過觀察引導(dǎo)過程和升級(jí)過程，該研究小組的成員發(fā)現(xiàn)了一種從隨機(jī)存取存儲(chǔ)器(RAM)中提取種子密鑰或私鑰的方法，該私鑰的作用是提供對(duì)加密貨幣現(xiàn)金的訪問權(quán)限，并允許將它們轉(zhuǎn)移到其他錢包。

Trezor One會(huì)對(duì)數(shù)據(jù)進(jìn)行備份，其中包括私鑰，并將其復(fù)制到RAM中。研究人員的攻擊手法是啟動(dòng)固件升級(jí)程序，并在RAM被清除之前停止升級(jí)。這樣，通過查看RAM的內(nèi)容轉(zhuǎn)儲(chǔ)，就能找到相應(yīng)的種子字(seed words)和PIN號(hào)(PIN number)了。