根據網絡安全研究人員的說法,在一種廣泛使用的中國微控制器中新發現的安全漏洞使得數十億臺設備及其存儲的 比特幣 (BTC) 面臨嚴重風險。
該漏洞被正式編爲 CVE-2025-27840,它影響了 ESP32 芯片,這是一種流行的微控制器,存在於許多物聯網(IoT)設備中,包括用於存儲比特幣的硬體錢包。安全專家警告說,這個漏洞可能允許黑客遠程竊取私鑰或僞造BTC交易籤名,從而在未經授權的情況下訪問用戶的資金。
ESP32芯片由中國的Espressif Systems公司生產,並用於基於該芯片的Blockstream Jade錢包等設備,以生成比特幣交易的加密籤名。然而,研究人員發現該芯片的隨機數生成器缺乏足夠的熵,因此容易受到可能暴露私鑰的暴力攻擊。
網絡安全公司 Crypto Deep Tech 展示了這個漏洞在現實世界中如何被利用。白帽黑客團隊成功破解了一個持有 10 BTC 的活躍比特幣錢包的私鑰,顯示了這個問題在實踐中的嚴重性。
除了隨機數生成器缺陷之外,芯片的更新機制也容易受到攻擊。黑客可以使用模塊更新來籤署未經授權的交易或注入惡意代碼,將芯片變成數字盜竊的祕密接入點。
世界各地的設備中嵌入了數十億個ESP32芯片,尤其是對於依賴於自我保管解決方案的個人和公司來說,數字資產面臨的威脅規模相當龐大。
Crypto Deep Tech 和其他研究人員目前正在負責披露協議下工作,同時呼籲採取緊急措施以警告錢包制造商和開發人員。然而,由於有缺陷的芯片已經被安裝在大量設備中,專家警告說,確保受影響基礎設施的安全將是一個復雜且漫長的過程。
目前,建議使用包含ESP32芯片的硬體錢包的用戶保持關注產品固件更新,並在安全補丁發布時遵循錢包提供商的指引。
