据报道,在英特尔的软件保护插件中发现了一个漏洞,允许从计算机内存中提取密码、加密密钥和其它敏感数据。
3月10日,计算机研究人员丹尼尔·格鲁斯将一段视频上传到YouTube上,描述了一个被称为“加载值注入”的概念验证攻击是如何被用来从英特尔SGX窃取敏感数据的——包括加密货币交易所和钱包的加密密钥。
以太坊研究人员抨击比特币消耗过多能源,然而数据来源遭质疑:6月10日消息,根据Digiconomist的数据,比特币目前使用了世界上0.82%的能源,而以太坊使用了0.34%的能源。以太坊研究人员Justin Drake在推特上分享了这一数据,并表示:“如果比特币真的消耗了地球上近1%的能源,这对于一个宠物石(pet rock)来说着实太多了。”Drake随后又在推特上写道:“合并后的以太坊:能源消耗占世界的0.000%。”
然而,Digiconomist提供你的这些数据的有效性受到质疑。Drake也被迫在后来的推文中承认了其他数据来源,显示估计的能源消耗数据降低了近60%。实际上,Digiconomist的数据准确性曾多次受到业内人士质疑。(Cointelegraph)[2022/6/10 4:16:43]
该攻击非常重要,因为SGX处理器的设计目的是提供存储在计算机内存中的敏感数据安全存储器,即使在被恶意操作系统控制的情况下也是如此。
研究人员:EIP-721标准内“setApprovalForAll”函数风险性极高:4月16日消息,在周杰伦NFT被盗之后,研究人员RomanZaikin、DiklaBarda和OdedVanunu开始调查NFT常用的EIP-721标准,结果发现欺诈者可以引诱用户点击恶意NFT的链接,然后通过该标准内一个名为setApprovalForAll的函数控制受害者账户,该函数可以授权任何人控制NFT,其设计初衷是为了让Rarible和OpenSea等第三方能够代表用户控制NFT。
一旦该函数完成授权,攻击者就可以通过使用合约上的transferFrom函数将受害者名下的所有NFT转移到自己的账户。研究人员表示,该功能在设计上非常危险,用户并不总是清楚他们通过签署交易给予了哪些权限。大多数时候,受害者认为这些仅为常规交易。(TheRegister)[2022/4/16 14:28:11]
LVI公开来自IntelSGX的加密货币密钥
美国国会研究人员:立法者需考虑数字货币立法将如何影响美元:金色财经报道,美国国会研究服务局在其题为“美元作为世界主要储备货币”的报告中称,不断增长的加密货币空间的影响并没有引起任何与美元地位有关的重大担忧。报告承认,尽管“加密货币仍然是一个小而动荡的利基市场”,但中央银行数字货币(CBDC)正在兴起。报告指出,迄今为止,尚无证据表明美元已脱离主要储备货币。但是,国会不妨考虑一下包括制裁和数字货币在内的一系列政策领域的立法将如何影响美元。[2020/12/22 16:03:19]
LVI的工作原理是让易受攻击的系统运行那些可能是托管在恶意网站或应用程序上的脚本,以启动针对SGX的侧通道攻击。一旦受到攻击,攻击者就可以访问存储在SGX中的加密密钥。格鲁斯说:
在熔毁型攻击中,攻击者故意尝试加载机密数据,导致处理器取消并重新发出加载请求。被取消的加载请求会持续运行很短一段时间——足够攻击者对机密数据执行一些非法操作。
2019年4月,JoVanBulk首次发现了LVI攻击。他发表了一篇学术论文,详细描述了3月10日的袭击事件,这篇论文还有丹尼尔·格鲁斯和其他八名研究人员的功劳。
预计攻击目标不会是普通民用计算机
论文将LVI攻击描述为反向熔毁攻击,研究人员指出,虽然LVI主要针对英特尔CPU,但其它容易熔毁的芯片也容易受到这种攻击。
然而,研究人员得出结论,LVI攻击不太可能被用来攻击民用计算机,理由是进行LVI攻击的难度极高,以及危害普通计算机系统有其它更容易的手段。
攻击还必须在执行恶意代码时执行,从而进一步降低LVI利用漏洞攻击目标客户机器的可能性。
英特尔发布易受攻击的CPU列表
针对这篇论文,英特尔发布了一份列表,列出了所有易受LVI攻击的处理器,并指出,所有安装了防崩溃硬件的英特尔芯片都不存在这种风险。英特尔声明:
研究人员发现了一种新的机制,称为加载值注入。由于要成功执行这项攻击,必须满足许多复杂的要求,英特尔并不认为LVI在可信的操作系统和VMM的现实环境中是一种真正能起作用的攻击手段。
原文链接:https://cointelegraph.cn.com/news/intel-sgx-vulnerability-discovered-cryptocurrency-keys-threatened
更多资讯:CointelegraphChina/登录https://cointelegraph.cn.com
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。