安全专家近日识别出比特币硬件钱包中的一种新的严重安全漏洞,名为“暗黑斯基皮”(Dark Skippy)。这一漏洞使得黑客能够仅通过两次签名交易就轻易提取钱包的私钥,这一发现与之前需要多次交易才能实现的方法形成鲜明对比。
漏洞发现与影响
这一发现由安全研究员劳埃德·福尼尔(Lloyd Fournier)、尼克·法罗(Nick Farrow)和罗宾·林纳斯(Robin Linus)在8月5日发布的报告中详细描述。报告指出,暗黑斯基皮攻击通过诱使受害者在其硬件钱包上安装恶意固件来实施。这种被篡改的固件会将用户的种子词部分嵌入到用于交易签名的“低熵秘密随机数”中。
当这些签名被记录在区块链上时,攻击者可以分析它们并使用Pollard的袋鼠算法(Pollard’s Kangaroo Algorithm)来推导原始种子词,该算法可以从公共对应物中提取秘密随机数。
漏洞范围及其执行方式
这一漏洞影响所有硬件钱包型号,但前提是黑客成功让受害者安装了假冒固件。与早期需要发布多次交易到区块链的方法不同,暗黑斯基皮可以仅通过两次交易就执行,即使种子词是在独立设备上生成的。
安全防范建议
为了降低这一风险,研究人员建议硬件钱包制造商提高其安全功能,如安全启动系统和固件检查。他们还建议用户保管好自己的设备,尽管一些建议的方法可能难以遵循。
这一新发现的安全漏洞提醒了加密货币用户和制造商,对硬件设备的安全性需持续警觉。在数字货币日益普及的今天,保护个人的财务信息比以往任何时候都更为重要。同时,这也显示了加密货币技术和市场仍处于不断发展和完善中,对于安全技术的更新和用户的警惕性始终是防范风险的关键。
声明:本文表达的内容和观点没有任何投资暗示,文章内容仅代表个人观点,所述内容仅供学习、阅读和参考。对购买、持有或出售任何数字资产不作为交易依据,请用户谨慎自行评估。转载需注明来源,违者必究!