无法修补的 Tangem 漏洞

无法修补的 Tangem 漏洞

由英语翻译

在 Tangem 硬件钱包中发现了一个漏洞。该研究结果由 Ledger 的研究团队发布——Ledger 是 Tangem 的直接竞争对手,也生产硬件钱包。

Tangem 钱包相当普及。它们有一个在硬件钱包中独一无二的 功能:用户可以将资金转入一个智能合约,并通过虚拟 Visa 卡进行消费。据我所知,Tangem 实际上是第一个在用户仍自行持有资产私钥的同时,提供通过卡片支付方式花费加密资产的方法的厂商。

而现在,出乎意料的是,一家竞争对手发现了一个漏洞,影响了有史以来出售的每一枚 Tangem 钱包——无论过去还是现在。从理论上讲,这本应是 Tangem 的终结。他们设备的一个标志性特征是无法重新刷写固件。客户曾将此视为优点,但在这种情况下,这意味着唯一真正的补救办法可能是召回他们曾经出货的所有设备,并从根本上以全新的设计重新开始。哪家公司能经受得住这样的打击?

但是有一个有趣的细节。利用该漏洞需要对设备进行物理接触、昂贵的实验室级激光设备以及在硬件攻破方面的深厚专业知识。一方面,这可能意味着大多数用户无需过于担心:拥有此类资源的人很可能不会特意针对他们。另一方面,漏洞终归是漏洞。

所以真正的问题变成:Tangem 自己认为谁是主要威胁:

  • 拥有完整工具包的实体——设备、高技能人员以及从拥有者手中扣押设备的能力,
  • 还是普通小偷?

如果是前者,现有钱包将被召回。如果是后者,它们将继续在流通中存在。

你认为谁是更大的威胁?