最近洩露的電腦保安漏洞再次提醒人們,數字時代讓私人資訊和的私鑰得到安全保證是多麼的困難。週三公佈,硬體漏洞給英特爾,ARM和AMD電腦晶片帶來重大影響,導致世界上絕大多數的電腦、移動裝置和伺服器,可以竊取私人資訊,如密碼、財務資訊或使用這些晶片來儲存的任何資訊。
對於加密貨幣來說,令人觸目驚心的是:駭客可以利用特定的攻擊載體來盜取使用者在區塊鏈上控制自己比特幣的私人金鑰。Popular Mechanics 網站稱這是一個“可怕的”漏洞,認為“這個漏洞最令人不安的部分”是“很難讓人對其進行抗爭”,而安全研究人員撰寫的一篇資訊頁面披露指出,“你完全被這個漏洞給帶進去了”。儘管沒有證據表明有任何密碼洩露,但專家表示,如果駭客或NSA一直在利用此次攻擊,最終密碼的洩露就不足為奇了。如果您已經遵循了加密貨幣儲存的最佳操作方式,那麼您可能不用擔心此類問題。但如果不是,或者如果你是一個新使用者,專家提醒您把私人金鑰放在安全的裝置上是尤為重要的。比特幣的核心開發者Bryan Bishop對CoinDesk就“安全更重要”做出了以下闡述:
“一個具有足夠知識水平的漏洞攻擊者,理論上可以迫使你的CPU洩露秘密資料,甚至控制你加密貨幣的私人金鑰。”1.在安全的裝置上儲存金鑰需要注意的是,在安全裝置上儲存私鑰的建議屢見不鮮。(長期以來,加密開發者一直警告不要將私人金鑰儲存在膝上型電腦或其他與網際網路互動的裝置上。)新使用者容易忽視掉的一點是:比特幣和其他加密貨幣儘管是安全協議,但它們必須與開放的網際網路和普通計算機進行互動作用。簡而言之,將私有金鑰儲存在如此靠近網際網路的金鑰中,可能會使使用者暴露導致駭客進行盜竊行為。新的CPU漏洞使情況變得更糟的原因是這些一系列的操作存在錯誤的可能性。加密貨幣的核心貢獻者Jonas Schnelli說:“如果記憶體問題無法受到真正的保護,那麼一個瀏覽器外掛,甚至一個網站都可以訪問你的私人金鑰。”這個問題的全部細節還沒有公開,所以目前還不清楚確切的攻擊載體是什麼。儘管如此,其他人認為可能依然會受到類似的影響。Bishop補充道:如果你想嘗試這類漏洞帶來的影響,你所要做的就是點選一個偶然的連結,也許你最終會在一個網站上使用惡意軟體程式碼竊取你的資料”。雖然這些場景聽起來可能有些牽強,但大多數今天的惡意軟體都能窺探到類似的漏洞,而這些漏洞還有待修補。我們無法預測誰和誰什麼時候會被擊中。 現在,使用者可以使用作業系統補丁來修補他們的Windows、Mac和Linux裝置。但是,對於加密貨幣的使用者來說,更好的選擇是不把私鑰儲存在一個聯網的裝置上,這是在這個漏洞特殊之前的一個普遍建議。而 Ledger 和Trezor.一種選擇是將私鑰儲存在所謂的“硬體錢包”中,雖然這些小裝置可能不那麼容易使用,但它們更安全,因為它們與網際網路沒有連線。 Pavol Rusnak作為特佐爾公司的技術長,他說,“使用硬體錢包現在比以往任何時候都更重要!”以太坊的開發者Lefter Karapetsas也隨之說道,“我打賭,CPU的崩潰能夠導致硬體錢包的業務開展。”
2.改變儲存金鑰裝置除了個人消費裝置以外,一個更大、更令人擔憂的目標是加密貨幣交易所和企業,它們同時為數百萬使用者儲存加密貨幣的私鑰。 一些加密貨幣的交易所使用雲託管服務,如亞馬遜網路服務和谷歌雲來執行它們的網站時就不是自旋它們自己的伺服器。 儘管這些平臺讓網站更容易管理,但它們尤其容易受到這些攻擊。從理論上講,駭客可以使用與加密貨幣初創公司相同的硬體,在這樣的雲平臺上執行操作以至於突然可以訪問所有資料。 在密碼世界中,駭客可以假設使用這個攻擊載體來竊取私鑰。 一方面,許多最受歡迎的雲平臺很快就解決了修復問題。另一方面,研究人員擔心,根深蒂固的漏洞可能會導致不固定的變異,會產生揮之不去的影響。
來源:https://www.coindesk.com/meltdown-spectre-cpu-flaws-mean-cryptocurrency/
翻譯:@ 雷茜
宣告:此文為本站翻譯,如有不當之處請多指教!轉載請務必註明轉自區塊網!
