最近的一项安全研究发现,比特币硬件钱包中存在一种名为“暗黑斯基皮”(Dark Skippy)的新漏洞。此漏洞允许攻击者仅需两次签名交易即可轻松窃取硬件钱包中的私钥,这一发现与之前需要进行多次交易才能达到同样目的的旧方法形成对比。
漏洞机制与研究背景
安全研究员劳埃德·福尼尔(Lloyd Fournier)、尼克·法罗(Nick Farrow)和罗宾·林纳斯(Robin Linus)于8月5日发布的报告中详细阐述了这一发现。他们指出,“暗黑斯基皮”攻击通过诱骗受害者在其硬件钱包中安装带有恶意代码的固件实现。该恶意固件会将种子词的一部分隐藏在交易签名所使用的“低熵秘密随机数”中。
一旦这些签名被记录到区块链上,攻击者便能利用Pollard的袋鼠算法从这些签名中恢复出原始的种子词,此算法能够从公开的签名中提取出隐藏的秘密随机数。
受影响的范围与风险
该漏洞潜在影响所有类型的硬件钱包,但实际受害范围取决于攻击者是否能够成功诱使用户安装恶意固件。与以往需要多次交易才能执行的方法不同,暗黑斯基皮漏洞仅需两次交易即可完成攻击,极大地降低了执行攻击的门槛。
防护措施与用户建议
面对这一安全威胁,研究团队建议硬件钱包制造商加强其安全措施,例如引入安全启动和固件验证机制。同时,他们也提醒用户保持警惕,避免安装来源不明的固件,特别是在非官方渠道下载的固件。
尽管研究人员提供了一些保护个人设备的建议,但他们也承认,对普通用户来说,某些保护措施可能难以实施。因此,增强个人对数字资产安全的意识和理解,成为保护资产安全的第一道防线。
“暗黑斯基皮”漏洞的发现再次提醒了公众对硬件钱包安全性的关注不可松懈。随着加密货币技术的快速发展,与之相关的安全威胁也在不断演变。用户和制造商都必须保持警觉,不断更新和升级安全措施,以应对日益复杂的攻击手段。