Ledger 研究人員發現了一個 Android 作業系統漏洞,可在數秒內竊取加密貨幣助記詞。
該單位應用概念驗證以證明上述威脅確實存在。
此發展表明,智慧型手機並不具备作為加密貨幣存儲設施所需的安保措施。
Ledger 的 Donjon 研究團隊發現了 MediaTek 處理器(常見於 Android 手機)中的安全漏洞,惡意攻擊者可在數秒內竊取使用者的手機密碼和加密貨幣助記詞。據稱,即使設備已關機,此攻擊仍可發生。
團隊進行了一項概念驗證測試,成功獲取了與多個軟體(又稱熱錢包)加密錢包相關的敏感資訊。受影響的用戶包括 Trust Wallet、Kraken 錢包 和 Phantom。
Android 系統上的加密貨幣盜竊
Ledger 硬體錢包公司的首席技術官 Charles Guillemet 將此發展視為「提醒我們智慧型手機並非為安全性而設計」。
吉勒梅特補充說,由於經濟和可用性因素,Android 手機在全球使用中佔主導地位,因此可能影響了「數百萬」部手機。
報告發布後,聯發科已採取措施修復該漏洞,而 Trust Wallet 也推出了一項新安全功能,以防止加密貨幣地址被篡改。
哪種儲存方式是安全的?
硬體錢包,例如 Ledger 和 Trezor,因其使用與手機主處理器分離的晶片,而被認為比軟體錢包提供更佳的加密貨幣安全性。
然而,由於成本效益高且使用方便,熱錢包在全球使用率達 78%,仍是加密貨幣持有者的首選。
即便如此,冷儲存用戶仍因社交工程、供應鏈篡改、實體設備提取和公然魯莽行為而成為加密貨幣盜竊的受害者。
後者的良好範例是韓國稅務局,其意外張貼了被沒收的加密硬體錢包的助記詞。暴力攻擊或扳手攻擊的範例是最近法國夫婦被搶走近 100 萬比特幣的案件。
至於作業系統,iOS 用戶並未完全倖免,Coruna 漏洞會在舊版 iOS 上竊取敏感的加密貨幣資訊。
運行節點時,使用者金鑰仍可能被竊取,因此多重簽名錢包可能是儲存加密貨幣最「防火」的方法之一。