对于加密货币来说,令人触目惊心的是:黑客可以利用特定的攻击载体来盗取用户在区块链上控制自己比特币的私人密钥。
Popular Mechanics 网站称这是一个“可怕的”漏洞,认为“这个漏洞最令人不安的部分”是“很难让人对其进行抗争”,而安全研究人员撰写的一篇信息页面披露指出,“你完全被这个漏洞给带进去了”。
尽管没有证据表明有任何密码泄露,但专家表示,如果黑客或NSA一直在利用此次攻击,最终密码的泄露就不足为奇了。
如果您已经遵循了加密货币存储的最佳操作方式,那么您可能不用担心此类问题。但如果不是,或者如果你是一个新用户,专家提醒您把私人密钥放在安全的设备上是尤为重要的。
比特币的核心开发者Bryan Bishop对CoinDesk就“安全更重要”做出了以下阐述:
“一个具有足够知识水平的漏洞攻击者,理论上可以迫使你的CPU泄露秘密数据,甚至控制你加密货币的私人密钥。”
1.在安全的设备上储存密钥
需要注意的是,在安全设备上存储私钥的建议屡见不鲜。(长期以来,加密开发者一直警告不要将私人密钥存储在笔记本电脑或其他与互联网交互的设备上。)
新用户容易忽视掉的一点是:比特币和其他加密货币尽管是安全协议,但它们必须与开放的互联网和普通计算机进行交互作用。简而言之,将私有密钥存储在如此靠近互联网的密钥中,可能会使用户暴露导致黑客进行盗窃行为。
新的CPU漏洞使情况变得更糟的原因是这些一系列的操作存在错误的可能性。
加密货币的核心贡献者Jonas Schnelli说:“如果内存问题无法受到真正的保护,那么一个浏览器插件,甚至一个网站都可以访问你的私人密钥。”
这个问题的全部细节还没有公开,所以目前还不清楚确切的攻击载体是什么。尽管如此,其他人认为可能依然会受到类似的影响。
Bishop补充道:如果你想尝试这类漏洞带来的影响,你所要做的就是点击一个偶然的链接,也许你最终会在一个网站上使用恶意软件代码窃取你的数据”。
虽然这些场景听起来可能有些牵强,但大多数今天的恶意软件都能窥探到类似的漏洞,而这些漏洞还有待修补。我们无法预测谁和谁什么时候会被击中。
现在,用户可以使用操作系统补丁来修补他们的Windows、Mac和Linux设备。但是,对于加密货币的用户来说,更好的选择是不把私钥储存在一个联网的设备上,这是在这个漏洞特殊之前的一个普遍建议。
而 Ledger 和Trezor.一种选择是将私钥存储在所谓的“硬件钱包”中,虽然这些小设备可能不那么容易使用,但它们更安全,因为它们与互联网没有连接。
Pavol Rusnak作为特佐尔公司的首席技术官,他说,“使用硬件钱包现在比以往任何时候都更重要!”以太坊的开发者Lefter Karapetsas也随之说道,“我打赌,CPU的崩溃能够导致硬件钱包的业务开展。”
2.改变储存密钥设备
除了个人消费设备以外,一个更大、更令人担忧的目标是加密货币交易所和企业,它们同时为数百万用户存储加密货币的私钥。
一些加密货币的交易所使用云托管服务,如亚马逊网络服务和谷歌云来运行它们的网站时就不是自旋它们自己的服务器。
尽管这些平台让网站更容易管理,但它们尤其容易受到这些攻击。从理论上讲,黑客可以使用与加密货币初创公司相同的硬件,在这样的云平台上运行操作以至于突然可以访问所有数据。 在密码世界中,黑客可以假设使用这个攻击载体来窃取私钥。
一方面,许多最受欢迎的云平台很快就解决了修复问题。另一方面,研究人员担心,根深蒂固的漏洞可能会导致不固定的变异,会产生挥之不去的影响。(电子发烧友网)
