Trezor 争先恐后地修补竞争对手 Ledger 标记的漏洞

在竞争对手 Ledger 披露后，Trezor 解决了其 Safe 3 和 Safe 5 硬件钱包中的一个安全漏洞，该漏洞发现了一种绕过 Trezor 现有的一些针对供应链攻击的对策的方法。

Trezor 回应 Ledger 的安全调查结果

硬件钱包提供商 Trezor 解决了其 Safe 3 和 Safe 5 型号中的一个漏洞，此前 Ledger 的 Donjon 团队进行了安全审查，暴露了设备双芯片架构中的潜在弱点。该漏洞被描述为“理论”威胁，只能通过复杂的物理供应链攻击来利用，最有可能影响二手或三手设备。

在 Ledger 与 Trezor 分享其调查结果后，该漏洞被曝光，促使后者于 3 月 5 日公开披露

Trezor在 X.com 上说：

“Ledger Donjon 最近评估了我们的 Trezor Safe 系列，并成功重用了之前已知的攻击，以演示如何绕过 Trezor Safe 3 中针对供应链攻击的一些对策。”

绕过供应链保护

根据 Ledger 3 月 12 日的报告，其 Donjon 安全研究团队设法重用了一种已知的物理攻击方法，以演示如何在 Trezor 的 Safe 3 和 5 型号的微控制器上执行加密作——尽管存在保护措施。该微控制器与Trezor双芯片设计中的安全元件芯片协同工作，被确定为新的潜在攻击媒介。

虽然 Trezor 已经实施了固件完整性检查来检测被篡改的软件，但 Ledger 证明了在特定条件下可以绕过这些保护措施。这表明，即使使用旨在阻止电压毛刺等低成本攻击的安全元件芯片，熟练的攻击者也可能通过瞄准微控制器来破坏设备。

Trezor 问题修复并让用户放心

在对 Ledger 的调查结果进行内部审查后，Trezor 确认已采取措施缓解该漏洞。该公司强调，该漏洞不会对用户构成直接风险，他们不需要采取任何行动。它重申，其分层安全方法在防御供应链威胁方面仍然有效。

在关于X的一份声明中，Trezor承认网络安全的固有挑战，并指出，虽然已经发布了固件补丁，但仅靠软件更新并不能消除所有风险。该公司建议用户只直接从授权零售商处购买设备，以尽量减少供应链篡改的风险。

安全标准行业合作

Ledger 的首席技术官 Charles Guillemet 称赞了 Trezor 的迅速响应，并表示：

“在我们努力更广泛地采用加密和数字资产的过程中，增强生态系统的整体安全性至关重要。”

近年来，Ledger 也面临着自身的安全挑战。2023 年，Ledger 连接器库中的漏洞导致加密资金损失 484,000 美元。2020 年的另一起违规行为泄露了超过 270,000 名客户的个人数据。

免责声明：本文仅供参考。它不提供或打算用作法律、税务、投资、财务或其他建议。