固件更新的潜在风险_新闻

加密货币安全：可更新固件可能是一颗定时炸弹

作者：Igor Zemtsov，TBCC首席技术官

加密货币安全就像一颗滴答作响的定时炸弹，而可更新固件可能就是点燃引信的那根火柴。

硬件钱包的双刃剑

硬件钱包已成为自我托管领域的圣杯，是抵御黑客、诈骗者甚至政府越权行为的终极保障。然而，大多数人忽略了一个不便的事实：固件更新不仅仅是安全补丁，它们可能是潜在的后门，等待着黑客、恶意开发者或可疑第三方将其彻底打开。

每次硬件钱包制造商推送更新时，用户都面临一个选择：点击更新按钮并希望一切顺利，或者拒绝更新并冒险使用可能存在未知漏洞的过时软件。无论哪种选择，都是一场赌博。在加密货币领域，一次糟糕的赌注可能意味着醒来时发现钱包空空如也。

固件更新并非总是朋友

更新固件听起来像是常识：更多的安全性！更少的漏洞！更好的用户体验！但问题是：每次更新不仅是钱包提供商的机会，也是任何有权力或动机干扰这一过程的人的机会。

黑客们梦寐以求的就是固件漏洞。仓促或未经充分审核的更新可能会引入微小、几乎难以察觉的缺陷，这些缺陷潜伏在后台，等待合适的时机清空资金。最糟糕的是？用户永远不会知道发生了什么。

更令人不安的是：故意设置的后门。科技公司曾被迫包含政府要求的监控工具，凭什么认为硬件钱包制造商就能幸免？如果监管机构——或者更糟，犯罪组织——想要访问私钥，固件更新就是完美的攻击载体。一个隐藏的功能，一行伪装的代码，就足够了。你还认为固件更新是无害的吗？

固件漏洞已被利用

这并不是什么遥不可及的末日场景，它已经发生了。加密货币安全领域的巨头之一Ledger在2018年遭遇了重大安全危机，当时安全研究员Saleem Rashid暴露了一个漏洞，允许攻击者替换Ledger Nano S的固件并劫持私钥。在修复推出之前，近100万台设备面临风险。可怕的是？用户无法知道他们的设备是否已经被入侵。

2023年，OneKey也遭遇了类似的噩梦。白帽黑客证明其固件可以在几秒钟内被破解。这次没有加密货币丢失，但如果真正的攻击者先发现了这个漏洞呢？

随后出现了“Dark Skippy”漏洞利用，将基于固件的攻击提升到了一个全新的水平。仅需两个签名交易，黑客就可以提取用户的整个种子短语，而不会触发任何警报。如果固件更新可以如此轻易地被操纵，谁能确保他们的资产安全？

可更新固件的隐藏代价

公平地说，并非所有固件更新都是安全灾难。Ledger现在使用专有操作系统和安全元件芯片来增加保护。Trezor采用开源方法，允许社区审查其固件。Coldcard和BitBox02让用户手动控制更新，减少——但并未消除——风险。

真正的问题是：用户能否100%确定更新不会引入致命缺陷？一些钱包已经决定完全消除这种风险。Tangem出厂时带有固定的、不可更新的固件，这意味着一旦设备离开工厂，其代码就永远无法更改。没有更新，没有补丁。当然，这种方法有其权衡。如果发现漏洞，就无法修复。但在安全领域，可预测性很重要。

真正的加密货币安全意味着夺回控制权

截至2025年3月，加密货币市场的价值为2.79万亿美元。面对如此巨额的财富，网络犯罪分子、恶意内部人员和越权政府总是在寻找弱点。硬件钱包制造商应该将安全作为重中之重。

选择硬件钱包不应该像用私钥赌博。它不应该涉及对公司负责任地推送更新的盲目信任。用户应该得到比模糊的保证更多的东西。他们应该得到将控制权交还给他们的安全模型。

安全不是关于便利，而是关于控制。任何需要信任未知开发者、不透明的更新过程或可以随意更改的固件的系统？那不是控制，那是责任。

保持硬件钱包安全的唯一真正方法是什么？消除猜测，摒弃盲目信任。始终研究开发者的背景，检查他们在安全事件中的记录，看看他们如何处理过去的漏洞。坚持可验证的事实——安全永远不应该基于假设。

我的自选