NIST：巨鲸芯片 ESP32 允许黑客更快窃取加密货币

根据NIST研究人员的说法，标记为CVE-2025-27840的错误允许攻击者伪造交易签名并远程提取私钥，使比特币钱包及其上存储的虚拟币资产易受盗窃。

中国公司Espressif生产的ESP32芯片广泛应用于像Blockstream Jade这样的硬件钱包，并帮助生成BTC交易的签名。

CVE-2025-27840 漏洞涉及芯片蓝牙模块中的 29 个未记录的 HCI (Host 控制器Interface)命令，这些命令可用于设备篡改和篡改、未经授权访问数据甚至网络入侵等攻击。此外，ESP32 中的随机数生成器熵不足，这使得黑客可以使用蛮力猜测成对的加密密钥。

中国芯片制造商ESP32的公司Espressif承认了问题和未 documented 功能的存在，但坚决否认存在“后门”，NIST的代表表示。Espressif承诺很快将发布更新，以消除未 documented 指令。

此前，美国大学的一组研究人员发现了基于 M1、M2 和 M3 处理器的 Apple 设备中的一个漏洞，该漏洞允许攻击者窃取加密密钥，包括来自虚拟币资产钱包的密钥。无法防御此漏洞，使用上述处理器的设备用户仅能删除加密货币钱包。