嘿!想象一下:你丟了手機或者它被偷了。你想,“可怕,但不是致命的。我有一個PIN碼,面部識別,我沒有把我的MetaMask種子短語保存到任何地方。”看起來你的賬戶是安全的。
好吧,差不多。Ledger的研究人員剛剛證明,物理訪問您的Android智能手機=訪問它上所有熱錢包。這不是關於黑客軟件——這是一種針對手機處理器本身的直接硬件級攻擊。
他們做了什麼?
他們使用電磁脈衝對一款流行的MediaTek芯片(在許多中檔智能手機中找到)進行了“破壞”,在最基本的層面上——在啓動時。這就像不是撬鎖,而是遠程重新編程使其在命令下打開。
技術要點(簡而言之):
一個特殊的裝置將電磁脈衝導入晶片中。
這會觸發在最受保護的部分——啟動ROM中的故障。
利用這個故障,攻擊者可以獲得對處理器的完全控制(最高特權級別,EL3)。
就這樣。之後,他們可以輕鬆地從任何已安裝的錢包(Trust Wallet、MetaMask等)中提取私鑰。
整個過程只需幾分鐘,根據他們的數據,成功率高達1%。對於擁有你設備的攻擊者來說,這已經足夠了。
這對你我有什麼重要性?
手機會被盜或遺失。這不是某種神話般的互聯網威脅——這是一個日常的現實。
手機上的熱錢包存在風險。Ledger 明確表示,他們的硬體錢包(以及類似設備)不受影響,因為它們擁有專門設計以對抗此類攻擊的安全晶片。
這家晶片製造商(聯發科技)基本上確認:這款晶片是為大眾市場消費者製造的,而不是用來儲存關鍵重要數據。金融運作需要專門的保護。
研究者的主要結論:
現代智能手機是一個方便的「錢包」用於日常消費,但不是用於長期持有的「保險箱」。
在這項研究之後,將大量資金保存在你的手機熱錢包中是一個巨大的風險。
問題來了:在這樣的消息之後,你如何在熱錢包和硬體錢包之間分配你的資產?你信任你的智能手機來儲存大量資金嗎?
\u003ct-66/\u003e\u003ct-67/\u003e\u003ct-68/\u003e
