pos機(jī)致命案例,幾乎所有錢包都有致命漏洞

新聞資訊 | 2023-05-17 11:30 | 投稿人：pos機(jī)之家

網(wǎng)上有很多關(guān)于pos機(jī)致命案例,幾乎所有錢包都有致命漏洞的知識(shí)，也有很多人為大家解答關(guān)于pos機(jī)致命案例的問題，今天pos機(jī)之家(www.tjfsxbj.com)為大家整理了關(guān)于這方面的知識(shí)，讓我們一起來看下吧!

本文目錄一覽：

1、pos機(jī)致命案例

pos機(jī)致命案例

文 | 比薩

冷錢包，又稱硬件錢包。

相當(dāng)于把私鑰存在一個(gè)芯片上，不聯(lián)網(wǎng)，被視為“絕對(duì)安全”的存儲(chǔ)幣的方式。

這里一度成為區(qū)塊鏈?zhǔn)澜绲淖詈笠黄踩珒敉痢?/p>

而最近，幾乎所有的硬件錢包，都被破解。

黑客只需要接觸手機(jī)兩分鐘，不管你是否屏蔽，就可以輕易轉(zhuǎn)走所有的幣。

隨著錢包熱興起，很多新廠商加入這一戰(zhàn)場(chǎng)，但它們對(duì)安全的理解往往不到位。這大大增加了安全隱患。

冷錢包還值得信賴嗎？

區(qū)塊鏈的世界，到底是否存在絕對(duì)的安全？

01 不安全的錢包

你知道嗎？其實(shí)大部分的錢包，都可以被破解。

包括冷錢包。

大數(shù)據(jù)安全公司知道創(chuàng)宇先進(jìn)技術(shù)部總監(jiān)胡銘德告訴一本區(qū)塊鏈記者，他所在的團(tuán)隊(duì)，就通過技術(shù)手段，當(dāng)眾破解了兩個(gè)國(guó)內(nèi)外知名的硬件錢包。

第一個(gè)，是在今年年初獲得8000萬美金融資的法國(guó)Ledger錢包。

“Ledger錢包在設(shè)計(jì)上有一個(gè)安全芯片和一個(gè)非安全芯片，我們通過強(qiáng)制升級(jí)非安全芯片的方式，在不拆除外殼的前提下，就能一步步取得錢包的PIN碼?！焙懙抡f。

PIN碼相當(dāng)于錢包的密碼，有了它，就可以打開錢包，把錢轉(zhuǎn)走。

除了Ledger，知道創(chuàng)宇團(tuán)隊(duì)還發(fā)現(xiàn)，其實(shí)大部分基于手機(jī)平臺(tái)（MTK）的比特幣錢包，都可以被破解。

“幾乎所有手機(jī)上的錢包，都能破解?！焙懙路Q，不管是手機(jī)APP的軟錢包，還是硬錢包。

比如，他們?cè)趯?duì)國(guó)內(nèi)多款MTK錢包進(jìn)行測(cè)試時(shí)發(fā)現(xiàn)，通過導(dǎo)出錢包固件，不僅可以看到多個(gè)幣種的緩存信息，還可以找到生成助記詞的各種庫。

胡銘德指出，這是一個(gè)很通用的USB漏洞。黑客可以很輕松地植入惡意軟件，盜走交易口令和私鑰信息。

“只要接觸手機(jī)2分鐘，黑客就能搞出數(shù)據(jù)，不管你是否有屏蔽保護(hù)口令?！焙懙路Q這個(gè)漏洞，極其嚴(yán)重。

在他看來，這才是最危險(xiǎn)的——包括小米、魅族在內(nèi)的大部分國(guó)產(chǎn)手機(jī)品牌的中低檔機(jī)，“都用的是MTK芯片方案”。

這就意味著，絕大多數(shù)硬錢包和軟錢包，都不安全。

02 冷錢包

保守估計(jì)，現(xiàn)在市面上有上百家廠商的錢包產(chǎn)品。它們可分為兩類，一類是軟件錢包，一類是硬件錢包，即冷錢包。

軟件錢包大家好理解，即手機(jī)下載的錢包APP，可直接使用。

但硬件錢包是什么？

比特幣是存在區(qū)塊鏈上的，而私鑰，是你擁有和有權(quán)管理比特幣的證明。

硬件錢包的工作原理，就是將私鑰存在一個(gè)芯片上，與網(wǎng)絡(luò)隔離，即插即用。它的外形，有點(diǎn)像U盤。

在業(yè)內(nèi)，硬件錢包被普遍認(rèn)為是最安全的數(shù)字貨幣存儲(chǔ)手段。人們的理由主要有三點(diǎn)：

硬件錢包中的私鑰不能被導(dǎo)出。因?yàn)椴宦?lián)網(wǎng)，杜絕了黑客攻擊。易備份。設(shè)備在初始化配置時(shí)會(huì)生成助記詞，作為私鑰的備份，當(dāng)你的設(shè)備丟失或損壞以后，可以購買新的設(shè)備，然后通過助記詞來恢復(fù)私鑰?？蓪?shí)現(xiàn)多幣種同時(shí)管理——絕大多數(shù)的硬件錢包，除了管理比特幣，還可以管理萊特幣、以太坊、比特現(xiàn)金等數(shù)字貨幣。

目前，國(guó)內(nèi)人氣較高的硬件錢包產(chǎn)品，像Ledger Nano S、Trezor、KeepKey 等，基本都來自國(guó)外，價(jià)格在1000元左右。

而因?yàn)榭春眠@一領(lǐng)域，很多國(guó)內(nèi)外區(qū)塊鏈創(chuàng)業(yè)者，都在打造更多的硬件錢包。

“但是，其中大多數(shù)廠家對(duì)安全理解不到位，導(dǎo)致了很多設(shè)計(jì)架構(gòu)問題。”胡銘德告訴一本區(qū)塊鏈記者。

交易所被大量盜幣、軟件錢包不時(shí)失竊，硬件錢包，因此被視為最后一道護(hù)城河。

這道護(hù)城河一旦失守，意味著什么？

事實(shí)上，硬件錢包不是第一次被破解，也不會(huì)是最后一次被破解。

2017年，在美國(guó)拉斯維加斯舉行的世界黑客大會(huì)DEF CON 25上，國(guó)外某安全團(tuán)隊(duì)，就向觀眾演示了如何破解比特幣硬件錢包。

其中就包括最古老的比特幣錢包Trezor。

Trezor使用了STMicroelectronics（意法半導(dǎo)體）生產(chǎn)的非安全芯片。黑客在拿到Trezor后，通過拆除其外殼，就可以利用漏洞，轉(zhuǎn)走比特幣。

這個(gè)過程最快只需要15秒。

也是在2017年，一個(gè)名為“ Large Bitcoin Collider”的組織，組織黑客暴力破解比特幣硬件錢包。Large Bitcoin Collider這個(gè)名字，就是直接取自歐洲粒子物理研究所的大型強(qiáng)子對(duì)撞機(jī)的名字，意為用強(qiáng)大的計(jì)算能力，去猜出錢包的密鑰。

該組織將破解過程稱為“挖寶”：一旦成功，錢包內(nèi)的比特幣，將由參與者共同分享。

在近8個(gè)月的嘗試中，Large Bitcoin Collider生成了3000萬億條密鑰，其中有十多個(gè)錢包的密鑰被“猜對(duì)了”，錢包被打開，其中三個(gè)錢包內(nèi)裝有比特幣。

在成功地分享了這三個(gè)錢包中的比特幣后，暴力破解行為結(jié)束了。

Large Bitcoin Collider稱，對(duì)他們來說，重要的并不是盜取比特幣，也不是讓比特幣消亡，而是對(duì)新的比特幣算法進(jìn)行可能的嘗試。

據(jù)悉，在未來的量子計(jì)算機(jī)出現(xiàn)后，生成30000億條密鑰，可能只需要8個(gè)小時(shí)。光是想想這個(gè)，都讓人不寒而栗。

03 安全無絕對(duì)？

在區(qū)塊鏈的世界里，絕對(duì)的安全，存在嗎？

如前文證明了的，硬件錢包，就不存在絕對(duì)的安全。

那么，“代碼即法律”的智能合約，又安全嗎？

設(shè)想一下，你簽了一個(gè)合同，雖然這個(gè)合同是開源的，但是你并不能完全看懂這個(gè)合同。這就是大多數(shù)人對(duì)于智能合約的無奈。

雖然區(qū)塊鏈技術(shù)能保證你的合同完全按照規(guī)則執(zhí)行，但是合約層的代碼漏洞，卻不易被發(fā)現(xiàn)。

而開源，就意味著誰都能看。換句話說，你簽了一個(gè)看不懂的合同，你身后的黑客，卻能看懂。