沒有100%安全的硬件錢包，評Ledger和Trezor錢包互懟事件_EDGE

在今年的MIT比特幣世博會上，硬件錢包廠商Ledger在會議現場演示了針對同行Trezor的五種攻擊方式，此后，該公司還在其官網公布了具體的漏洞細節。可以預料到是，很多購買Trezor或其仿品硬件設備的用戶們會坐不住了。還不了解這回事的讀者，可以先閱讀巴比特wendy小姐姐報道的這篇文章：《硬件錢包安全團隊屢出奇招，Ledger向同行Trezor下手了》那么，我們是否就可以說，Trezor是不安全的，而Ledger就是更好的選擇呢？當然不能如此簡單下定論，我們也要聽聽另一方的解釋。根據Trezor方面給出的回應來看，Ledger所提到的漏洞，均需物理訪問，其中有部分已被Trezor解決，部分屬于所有硬件設備都存在的問題，其余部分則是當前所有基于ST微芯片設備存在的問題，這也包括Ledger本身。通過這起事件，我們可以了解到，沒有任何一個硬件錢包是可以做到100%安全的，重要的是用戶要提高安全意識。以下為Trezor方面的回應：

David Rubenstein：比特幣將繼續存在，對沒有在100美元時買入感到遺憾:金色財經報道，億萬富翁、私募股權巨頭Carlyle Group聯合創始人David Rubenstein在彭博社采訪中表示， 比特幣 (BTC) 將繼續存在，這要歸功于貝萊德 (BlackRock) 申請比特幣 ETF 現貨的機構興趣的增長，以及全球對政府無法控制的貨幣形式的普遍需求。 他說：“世界各地的很多人都希望能夠以政府無法知道他們擁有什么的貨幣進行交易，并且他們希望能夠正確或錯誤地轉移這種貨幣，所以我認為比特幣不會離開，會繼續發展”。

Rubenstein承認，他對沒有在比特幣100美元時買入感到遺憾。他表示，鑒于貝萊德等傳統金融巨頭最近的興趣，曾經嘲笑加密貨幣和整個行業的人們可能會被迫重新審視。Rubenstein此前曾透露，他個人投資于促進加密貨幣交易的公司，盡管他沒有直接擁有任何加密貨幣。[2023/8/9 21:33:08]

我們希望借此機會解決、澄清以及回應Ledger在MIT比特幣世博會上針對Trezor提出的聲明。簡單回應：

NBA巨星奧尼爾：沒有參與FTX，只是廣告付費代言人:金色財經報道，NBA 球星沙奎爾·奧尼爾對于自己成為 FTX 集體訴訟中的被告一員做出辯解，他曾出現在今年六月的 FTX 廣告中。沙奎爾·奧尼爾在 CNBC Make It 節目中稱，我沒有參與 FTX，只是廣告的付費代言人。我也不懂加密貨幣，所以我可能會遠離加密貨幣，直到完全了解它是什么。截止目前，FTX 社交媒體上仍保留了沙奎爾·奧尼爾的廣告視頻。[2022/12/17 21:49:50]

供應鏈攻擊：超出范圍，影響運輸中的所有硬件，沒有100%的解決方案，所有公司都有不同的方法來緩解這一問題；軟件漏洞攻擊：不可利用，已修復；側通道PIN攻擊：已修復；側通道攻擊標量乘法：不可利用，需要PIN；意外結束攻擊：未完全披露，對基于ST微芯片的所有硬件設備都有影響，可通過口令緩解；首先，我們要強調的是，這些攻擊都不是可遠程利用的。所有演示的攻擊向量，都需要物理訪問設備，攻擊者需要使用專用設備，并掌握專業的攻擊技術，最后還需要時間。這就是為什么我們認為，這些問題對于絕大多數硬件錢包用戶來說，它們的重要性是較低的。最近與幣安合作展開的研究證實了這一點，只有5.93%的受訪者認為物理攻擊是對加密貨幣的最大威脅，而66%的受訪者認為遠程攻擊是主要威脅。這5.93%的人群，可通過使用密碼短語進行保護，通過這種方式可覆蓋設備和恢復種子的物理安全性。

美眾議員猛烈抨擊Coinbase CEO沒有出席國會加密聽證會:金色財經報道，今日在美國國會的加密聽證會上，眾議員Brad Sherman指出：“加密貨幣的擁護者代表了我們社會的力量。我們在華爾街和華盛頓的社會力量已經花費了數百萬美元，并且正在努力賺取數十億美元。其中包括高盛、貝萊德、Visa、Citadel、馬斯克和扎克伯格。更不用說今天在我們面前的首席執行官們了。如果你想知道力量在哪，扎克伯格就不得不站出來，出席此次聽證會。Coinbase CEO Brian Armstrong（未出席）派出了他的二把手（Coinbase首席財務官）。而Tether根本沒有出現。”隨后他重申，對加密貨幣的第一大威脅是加密貨幣本身，因為比特幣可能會被以太坊取代，而法定貨幣則不然。[2021/12/9 13:00:02]

幣安的安全調查結果，樣本為14471名受訪者硬件錢包的主要用途，始終是保護資金免受惡意軟件攻擊、計算機病和各種其他遠程威脅的侵害。雖然實現完美的物理安全是一個崇高的目標，但這一目標最終還是無法實現的，這是因為5美元扳手攻擊的存在。此外，如果一個人有足夠的資金、時間和資源，沒有硬件障礙可抵御住他們的攻擊。如果我們考慮到意外盜竊，那么他發現你的硬件錢包，并偶然擁有攻破這些設備所需裝備，其可能性是相對較小的。

聲音 | 江卓爾：短線沒有任何辦法正確率超過50%:萊比特礦池江卓爾發微博稱，短線沒有任何辦法正確率超過50%，越短越接近50%，唯一的盈利方法是反人性，能截斷虧損+讓利潤奔跑，止損不止盈，虧時少虧賺時多賺。共識變化帶來的需求變化=市場情緒。[2019/11/23]

5美元扳手攻擊，https://xkcd.com/538/我們在設計Trezor設備時，考慮了上面解釋的威脅模型——我們的主要重點是保護用戶免受遠程攻擊。也就是說，結合強大的密碼和至少基本的操作安全原則，即使是Ledger所提出的物理攻擊，也不會影響到Trezor用戶。知道了這一點，讓我們看看Ledger在周日所提到的問題。問題1-供應鏈攻擊

“供應鏈攻擊”是所有硬件設備都存在的永恒問題，無論它們受到多大程度的保護。一件硬件無法檢查自身，并驗證其完整性。硬件認證并不是一個解決方案，因為硬件修改是可被添加的，這會導致設備確認它是真的。此外，我們所有的制造過程都是在歐盟，在那我們會緊密控制整個制造過程。

演示將任意恢復詞注入到Ledger硬件錢包，演示人：SaleemRashid問題2-軟件漏洞攻擊

在Trezor代碼庫測試期間，Ledger研究人員發現了兩個問題，他們也確認了我們的代碼對惡意行為者的抵抗力很強。盡管這些漏洞無法利用，但我們還是修復了它們。我們想利用這個機會，感謝Ledger再次確認Trezor源代碼是高質量編寫的。問題3-側通道攻擊PIN

在TrezorOne錢包上的側通道攻擊PIN確實是令人印象深刻的，我們贊揚Ledger的努力。同時，我們要感謝Ledger負責任地向我們披露這個問題。這種攻擊向量，可通過將TrezorT模型上的數據存儲方式向后移植到TrezorOne而解決。問題4-側通道攻擊標量乘法

此漏洞假定攻擊者擁有用戶的PIN，并擁有對設備的物理訪問權限，以及最終的密碼短語。掌握了以上所有，攻擊者就完全掌握了硬件錢包所保管的所有資金。問題5+6意外結束攻擊

這兩個問題實際上是相同的，但6比5聽起來更好。盡管如此，我們對Ledger宣布這一問題感到驚訝，特別是在Ledger明確要求不公布這一問題之后，因為這可能會影響整個微芯片行業，而不僅僅是硬件錢包。由于Ledger目前正在與芯片制造商談判，我們也將避免泄露任何關鍵信息，除了此攻擊載體也是資源密集型的，其需要實驗室級的設備來操作微芯片以及深入的專業知識。Ledger，我們仍在和ST討論中，請不要提及攻擊細節，好嗎？如果你是一名Trezor錢包用戶，并害怕針對設備的物理攻擊，我們建議你設置一個受密碼保護的錢包。在最佳情況下，可使用多個密碼進行組合保護。密碼將完全緩解此攻擊向量。雖然應該贊揚硬件測試和遵守負責任的披露，但最后一個問題的披露，似乎還為時過早。SatoshiLabs首席執行官MarekPalatinus表示：我們要感謝Ledger實際演示了我們自設計Trezor以來所意識到的所有攻擊方式。因為我們意識到沒有硬件是100%安全的，所以我們引入了密碼短語的概念；除了合理的可否認性之外，還消除了很多物理攻擊，比如這次Ledger提到的。結論

Ledger在MIT比特幣博覽會上的陳述概要整個事件對我們來說是一個寶貴的教訓。我們需要傳達一些我們已知的信息：沒有硬件是不可破解的，根據你的安全模型，你可以使用一些工具來減輕威脅。而對于那些擔心物理攻擊的用戶來說，設置合理否認和操作安全的密碼是可行方法。而對于關注遠程攻擊的用戶來說，其實沒有發生任何變化。我們將在未來繼續推廣密碼短語功能，以及其他操作安全策略，以確保您的安全。

Tags：GEREDGDGEEDGEUltiledgerLedger PayHedgerdHEDGE Top Index

歐易交易所app官網下載