根据 Ledger 于 3 月 12 日发布的一份报告,Trezor 最新推出的硬件钱包 Safe 3 和 Safe 5 存在一些严重的安全问题。.
报告称,其安全研究团队 Ledger Donjon 发现这些设备的微控制器存在大量漏洞,黑客可以利用这些漏洞远程访问用户资金。.
尽管 Trezor 已升级为双芯片设计,并包含一个通过 EAL6+ 认证的安全元件,但缺陷依然存在。虽然安全元件可以保护 PIN 码和私钥,但 Ledger 的报告显示,所有加密操作仍然在微控制器上执行,而微控制器容易受到电压故障攻击。.
如果被利用,攻击者可以trac加密机密信息、修改固件并绕过安全检查,使用户资金面临风险。.
Trezor 的新安全设计未能保护关键操作
Trezor 于 2023 年底推出了 Safe 3,随后于 2024 年年中推出了 Safe 5,这两款钱包都采用了升级的双芯片设计,旨在摆脱旧款 Trezor 型号中使用的单芯片架构。.
此次升级还增加了英飞凌的 Optiga Trust M 安全元件,该元件将作为专用安全芯片用于存储 PIN 码和加密密钥。.
根据Ledger 的研究结果,这种安全元件可以防止在未输入正确 PIN 码的情况下访问敏感数据。它还可以阻止电压故障等硬件攻击,这些攻击以前曾被用来从 Trezor One 和 Trezor T 等型号的设备中提取trac记词。
但尽管有这些改进,Ledger Donjon 的研究表明,主要的加密功能(包括交易签名)仍然在微控制器上进行,这仍然是一个主要的安全漏洞。.
Safe 3 和 Safe 5 中使用的微控制器标有 TRZ32F429,它实际上是定制封装的 STM32F429 芯片。.
该芯片存在已知漏洞,特别是电压故障漏洞,攻击者可以利用该漏洞获得对闪存的完全读/写访问权限。.
一旦攻击者修改固件,他们就能操纵熵的生成,而熵在密码安全中起着关键作用。这可能导致私钥被远程窃取,从而使黑客能够完全控制用户的资金。.
认证系统无法验证微控制器的完整性
Trezor 使用加密认证来验证其设备,但 Ledger Donjon 发现该系统不会检查微控制器的固件。.
Optiga Trust M 安全元件在生产过程中会生成一对公钥/私钥,Trezor 会对公钥进行签名,并将其嵌入证书中。当用户连接钱包时,Trezor Suite 会发送一个随机挑战,设备必须使用其私钥对该挑战进行签名。如果签名有效,则该设备被视为真实设备。.
但莱杰的研究表明,该过程仅验证安全元件,而不能验证微控制器或其固件。.
Trezor 尝试使用预共享密钥将安全元件和微控制器连接起来,该密钥在制造过程中被编程到两个芯片中。只有当微控制器证明其知晓此密钥时,安全元件才会响应签名请求。.
问题在于?这个预共享密钥存储在微控制器的闪存中,而闪存容易受到电压故障攻击。.
Ledger 的团队成功trac了密钥,重新编程了芯片,并完全绕过了身份验证过程。这意味着攻击者可以在修改固件的同时,仍然通过 Trezor 的安全检查。.
Ledger 的报告描述了他们如何构建定制的攻击板,从而可以将 TRZ32F429 的焊盘引到标准接头上。.
这种设置使他们能够将微控制器安装到攻击系统中,trac预共享密钥,并在不被发现的情况下重新编程设备。.
重新编程后,该设备连接到 Trezor Suite 时仍然会显示为合法设备,因为加密认证系统保持不变。.
这会造成危险的情况,被入侵的 Trezor Safe 3 和 Safe 5 钱包可能会被当作正品出售,同时暗中运行恶意固件来窃取用户资金。.
固件验证被绕过,使用户面临风险
Trezor 的 Trezor Suite 中包含固件完整性检查,但 Ledger Donjon 找到了一种完全绕过此保护的方法。.
固件检查的工作原理是向设备发送一个随机挑战,设备随后使用该挑战及其固件计算出一个加密哈希值。Trezor Suite 会将此哈希值与包含真实固件版本的数据库进行比对。.
乍一看,这种方法似乎相当有效——攻击者不能简单地硬编码一个虚假的哈希值,因为他们事先不知道随机挑战,所以设备必须实时计算哈希值,从而证明它运行的是真正的固件。.
然而,Ledger Donjon 发现了一种完全绕过这种保护机制的方法。由于微控制器负责处理这种计算,攻击者可以修改其固件来伪造有效的响应。.
通过篡改设备计算哈希值的方式,攻击者可以使任何固件版本看起来都是真实的。这是一个严重的问题,因为它允许攻击者运行修改后的软件,同时还能通过 Trezor Suite 的验证检查。.
因此,被入侵的 Trezor Safe 3 或 Safe 5 可能仍然看起来合法,同时秘密泄露私钥或篡改交易数据。.
Ledger 的报告总结道,要彻底保障 Safe 3 和 Safe 5 的安全,唯一的办法就是用更安全的微控制器替换现有的微控制器。Trezor Safe 5 确实采用了更现代的微控制器 STM32U5,目前尚未发现任何公开的故障注入攻击。.
但由于它仍然是一个标准的微控制器,而不是一个专用的安全元件,因此仍然存在发现新的攻击方法的风险。.
Trezor已经修复了这些漏洞,但根本的安全隐患依然存在。在微控制器本身完全安全之前,用户只能依赖Trezor的软件保护措施,而Ledger Donjon的研究已经证明这些措施是可以被绕过的。.
