说到加密货币资产安全,很多人第一个想到的就是「硬体钱包」。冷钱包嘛,跟网路断开,听起来安全到不行。但小心了!再安全的硬体,只要有漏洞,也可能变成歹徒的天堂!最近在资安圈闹得沸沸扬扬的是——ESP32晶片出现重大漏洞!
这颗被广泛使用的晶片,出自天朝知名物联网公司乐鑫资讯(Espressif Systems),编号叫做CVE-2025-27840,而且已经正式登录美国NVD(国家漏洞资料库),认证它不只是个传说,而是真!危!机!
让我们先来了解 ESP32 到底是啥...这颗晶片可不简单,它是蓝牙、WiFi、低功耗一条龙的好帮手,从2016年问世以来,靠着高性价比打遍天下无敌手,用在各种智慧家电、3C设备中,出货量超过10亿颗!冷钱包制造商当然也很爱拿它来用。
但问题就来了......资安公司 Crypto Deep Tech 发现,这个漏洞让有心人可以透过特殊手法,对冷钱包进行暴力破解。只要骇客拿到你钱包本体,就有机会提取出你的私钥,然后……就没有然后了,你的钱包可能马上「变空」。
Crypto Deep Tech 还找了白帽骇客做实测,成功从一台有漏洞的钱包里提取出10枚比特币(BTC)的私钥,实锤这个漏洞是真的、能用、超危险。根据目前的爆料,Blockstream 的旧版 Jade 钱包是已经确定有用到 ESP32 的冷钱包之一。而且尴尬的是,这款钱包到现在还在卖……
2 D. b3 Z3 I3 k( V d* L& r, b! F不过,Blockstream 官方也在4/16晚上出来回应了:“我们旧版和新版 Jade 钱包,韧体都有特别限制,不会开放 ESP32 的 debug 权限。跟外面你买开发板随便装模拟韧体的做法完全不同。而新版 Jade Plus 也换用了 ESP32-S3 晶片,安全性更进一步。”虽然官方拍胸脯说安全,但还是建议大家眼睛睁大点,毕竟私钥一旦外泄,钱包就像开了保险箱门……
( N' z/ }2 x9 L; a. O自我排查小攻略看看你的钱包有风险吗?快来用下面这两题检测看看:1. 你的冷钱包有没有 蓝牙或 WiFi 功能?2. 你的冷钱包是不是「非卡片型、而且有点厚度」? 如果以上两个问题你都答「是」,那就建议赶紧上网查一下你的钱包型号(可以搜「teardown」、「MCU」等关键字)看看有没有用到 ESP32 晶片!
: y! E! \8 _! p9 r5 T目前确认较安全的型号有:Ledger Nano S 系列(含后续所有型号,官网有列出晶片资讯);Trezor Model T / Model ONE(也是官网有详细说明)。当然,即便目前安全也不代表永远无虞,毕竟厂商不同批次可能换料。最好定期关注官方公告,随时掌握自己的钱包状况。
最后提醒:硬体钱包是资产防护的最后一道防线,一定要透过官方正规渠道购买,确保收到的钱包是全新未启封状态。别让诈骗集团透过所谓「说明书诈骗」、「改造钱包」来偷走你的心血。在数位资产的世界里,最强的防火墙就是「资讯 + 警觉 + 一点点怀疑心」!
最后,各位可知道论坛积分可以兑换公司筹码呢?也就是300天策币兑换300元公司筹码;600贡献值兑换300元公司筹码。想知道什么公司可以兑换到筹码吗?欢迎点击链接查询,同时申请积分兑换,然后坐等收到筹码好好发育~祝大家玩得开心,发育满满~
传送门:积分兑换商品区
| 欢迎光临 优惠论坛 (https://www.tcelue.cc/) | Powered by Discuz! X3.1 |