撰文|Cobo金庫大掌柜在《安全芯片到底在保護什么?》中,我們講了安全芯片能夠生成真隨機數來預防秘鑰泄露。除此之外,相比較其他電子元器件,安全芯片還有一些特別的設計,用以抵御針對硬件的直接攻擊。旁路攻擊Side-ChannelAttack
旁路攻擊是一種基于從密碼系統的物理實現中獲取信息的攻擊方法。“物理實現”一般指直接對電路板進行信息偵測,從而破解秘鑰。這里“信息偵測”包括時間間隔信息、功率消耗、電磁泄露或甚是聲音等。一般的電子器件和電路對旁路攻擊的防御非常薄弱。典型的案例:2019年4月,研究機構發現,高通的部分芯片的置信空間在遭受旁路攻擊時,會導致秘鑰泄露。攻擊操作視頻請戳:RSAPowerAnalysis-旁路攻擊關于旁路攻擊,掌柜的另一篇文章《離線電腦或手機VS專業硬件錢包》也展示了很多種旁路攻擊竊取離線電腦或者手機中的私鑰的攻擊手段,可以參閱。針對旁路攻擊,安全芯片使用地址串擾和數據加密存儲的方式,防止直接從Flash讀取數據;使用動態時鐘防止計時攻擊,用隨機掩碼和真偽操作混合的方式來消減功耗,電磁等信息的相關性,從而防止能量分析攻擊和電磁分析攻擊;還使用了混合布局布線,主動金屬屏蔽層等手段,讓旁路攻擊幾乎不可能實施。冷啟動攻擊ColdBootAttack
安全團隊:穩定幣DEI被盜資金目前存在黑客地址:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,2023年5月6日,DEI項目遭到攻擊總共約損失超600萬美元,被盜資金目前存在黑客地址。
Beosin安全團隊分析原因是DEI代幣合約中存在一個burnFrom函數,該函數在獲取用戶授權值的時候,將兩個地址參數寫反,導致獲取的授權值為黑客可操控的值。扣除銷毀數量后,函數將授權值更新為了一個錯誤的授權值,使得黑客可以直接將pair中的DEI代幣轉移出去并將穩定幣兌換出來。
BSC交易:0xde2c8718a9efd8db0eaf9d8141089a22a89bca7d1415d04c05ba107dc1a190c3
Arbitrum交易:
0xb1141785b7b94eb37c39c37f0272744c6e79ca1517529fec3f4af59d4c3c37ef[2023/5/6 14:46:00]
嚴格意義上來說,冷啟動攻擊也是旁路攻擊的一種。冷啟動攻擊是在用冷啟動的方式,重新啟動計算機后,從系統中獲取信息的一種攻擊手段。這里“獲取信息”獲取的是RAM中的數據或者秘鑰。攻擊操作視頻請戳:冷啟動攻擊冷啟動攻擊不僅僅在電腦上可以發揮作用,在手機等小型移動設備上一樣可以發揮作用。從視頻中可以看到,為了延長內存中數據存留的時間,實施冷啟動攻擊的時候,攻擊者往往會用低溫噴霧對內存進行降溫。一般電路系統沒有特殊的機制來防護這種攻擊。但是在安全芯片中,有異常環境的檢測模塊。一旦遇到溫度的急劇變化,會立即進行復位,擦除RAM上面的信息,從而對抗冷啟動攻擊。故障攻擊FaultAttack
FTC因隱私和安全問題對推特進行更深入審查:金色財經報道,據知情人士透露,在埃隆·馬斯克收購推特后,美國聯邦貿易委員會(FTC)對該公司的隱私和數據安全做法進行更深入的調查。FTC律師在上個月詢問了兩名推特前高管——前首席隱私官Damien Kieran和首席網絡安全官Lea Kissner。這次調查標志著FTC至少第三次就其隱私和數據安全做法對推特進行審查,審查可能導致數百萬美元的罰款,以及FTC對馬斯克本人施加義務的新命令,這些義務將適用于其所有公司,即使他卸任CEO或離開推特也仍然有效。(金十)[2022/12/21 21:57:32]
故障攻擊是安全芯片運算過程中受到干擾時可能出現硬件故障或運算錯誤,利用這些故障行為或錯誤信息分析獲取芯片內密鑰和敏感信息的一種攻擊方式。安全芯片內置了電壓、頻率的異常檢測模塊來防止故障攻擊。此外,安全芯片還使用了真偽操作混合的方式進一步杜絕。芯片內同時發送真偽操作的結果,即使是實施了故障攻擊,也難以分辨是偽操作還是真操作被實施了故障攻擊后的結果。真操作的結果還會進行互相校驗,一旦校驗不通過,Flash會被擦除,所有機密信息也隨之消失。除了防護以上的攻擊方式,安全芯片還有其特殊的抗攻擊設計,用以防護光攻擊等各種其他攻擊形式。綜上所述,大家在選購硬件錢包的時候,建議選擇使用了安全芯片的產品。掌柜會持續更新更多硬核又有趣的硬件錢包安全知識,不管對你有用沒用,先關注了再說!參考鏈接:https://www.youtube.com/https://www.youtube.com/https://www.nccgroup.trust/https://www.researchgate.net/https://en.wikipedia.org/https://www.ledger.com/http://www.bjgm.gov.cn/
動態 | 美國國土安全部獎勵區塊鏈創業公司20萬美元,用于開發證書管理解決方案:據The Block消息,美國國土安全部(DHS)向區塊鏈創業公司Digital Bazaar獎勵近20萬美元,用于建立一個證書管理解決方案。DHS表示,目前頒發、驗證和驗證大量許可證和證書的流程通常是紙質的,不利于數據交換,而且容易丟失、偽造和偽造。它補充說,使用區塊鏈技術將這些過程數字化有助于增強安全性、確保互操作性和防止偽造和假冒。因此,Digital Bazaar將致力于一個名為“可互操作的企業身份和憑據生命周期管理”的項目,以幫助DHS改進其流程。[2019/11/15]
編者按:本文來自鏈聞,撰文:ParkerLewis,UnchainedCapital業務拓展負責人,編譯:PerryWang,Odaily星球日報經授權轉載.
1900/1/1 0:00:00編者按:本文來自藍狐筆記,Odaily星球日報經授權轉載。前言:在構建加密項目時,總會涉及到權衡。因為去中心化往往意味著在項目啟動上具有難度,在用戶體驗很難達到易用,而且成本較高,擴展性有限.
1900/1/1 0:00:00本文來自Trustnodes,Odaily星球日報譯者|Moni 最近,以太坊2.0存款流程“不小心”提前流出了.
1900/1/1 0:00:00編者按:本文來自巴比特資訊,作者:王佳健,星球日報經授權發布。2月3日上午9點30分,停盤一個春節的A股開盤,受新型冠狀病疫情影響,近3000個股跌停.
1900/1/1 0:00:00編者按:本文來自:以太坊愛好者,作者:KEVINOWOCKI,翻譯:阿劍,Odaily星球日報經授權轉載。開源的密碼學資產的浪潮正在搖撼整個世界.
1900/1/1 0:00:00編者按:本文來自01區塊鏈,Odaily星球日報經授權轉載。引言在當下,不論你是誰,都會時時關注和知道新型冠狀病的疫情動態和相關消息.
1900/1/1 0:00:00