【安全警报】ESP32芯片安全漏洞威胁加密资产
网络安全研究机构Crypto Deep Tech最新报告指出,搭载于多款硬件钱包及物联网设备的ESP32芯片存在关键性漏洞(CVE-2025-27840),该发现已通过技术验证并提交至国家漏洞数据库。
▌风险全景扫描
核心漏洞:芯片内置随机数生成器存在熵值缺陷,攻击者可利用该漏洞通过暴力破解推导私钥
攻击路径:远程代码执行漏洞允许攻击者伪造交易签名,恶意固件注入风险同步存在
影响范围:涉及全球超3.2亿台加密资产存储设备,覆盖部分企业级物联网控制系统
▌实证研究
研究团队在受控环境中成功复现攻击场景:耗时72小时破解存有10BTC(时价约合68万美元)的测试钱包。攻击模型显示,专业黑客组织可在48小时内规模化实施此类攻击。
▌应对建议
• 立即核查设备型号(可通过序列号在制造商官网验证)
• 采用多重签名方案分散资产风险
• 优先选择通过CC EAL5+认证的硬件钱包
• 警惕非官方渠道的固件更新
注:主流商业钱包厂商已启动供应链审查,采用定制安全芯片的设备不受此漏洞影响。开源社区项目建议暂停使用基于ESP32架构的解决方案,待补丁发布后重新评估。
📎新闻参考链接:
https://protos.com/chinese-chip-used-in-bitcoin-wallets-is-putting-traders-at-risk/
https://securityonline.info/cve-2025-27840-how-a-tiny-esp32-chip-could-crack-open-bitcoin-wallets-worldwide/
消息来源:https://t.me/appdopic/1470
网络安全研究机构Crypto Deep Tech最新报告指出,搭载于多款硬件钱包及物联网设备的ESP32芯片存在关键性漏洞(CVE-2025-27840),该发现已通过技术验证并提交至国家漏洞数据库。
▌风险全景扫描
核心漏洞:芯片内置随机数生成器存在熵值缺陷,攻击者可利用该漏洞通过暴力破解推导私钥
攻击路径:远程代码执行漏洞允许攻击者伪造交易签名,恶意固件注入风险同步存在
影响范围:涉及全球超3.2亿台加密资产存储设备,覆盖部分企业级物联网控制系统
▌实证研究
研究团队在受控环境中成功复现攻击场景:耗时72小时破解存有10BTC(时价约合68万美元)的测试钱包。攻击模型显示,专业黑客组织可在48小时内规模化实施此类攻击。
▌应对建议
• 立即核查设备型号(可通过序列号在制造商官网验证)
• 采用多重签名方案分散资产风险
• 优先选择通过CC EAL5+认证的硬件钱包
• 警惕非官方渠道的固件更新
注:主流商业钱包厂商已启动供应链审查,采用定制安全芯片的设备不受此漏洞影响。开源社区项目建议暂停使用基于ESP32架构的解决方案,待补丁发布后重新评估。
📎新闻参考链接:
https://protos.com/chinese-chip-used-in-bitcoin-wallets-is-putting-traders-at-risk/
https://securityonline.info/cve-2025-27840-how-a-tiny-esp32-chip-could-crack-open-bitcoin-wallets-worldwide/
消息来源:https://t.me/appdopic/1470