最近泄露的計(jì)算機(jī)安全漏洞再次提醒人們，數(shù)字時(shí)代讓私人信息和加密貨幣的私鑰得到安全保證是多么的困難。

周三公布，硬件漏洞給英特爾，ARM和AMD電腦芯片帶來(lái)重大影響，導(dǎo)致世界上絕大多數(shù)的電腦、移動(dòng)設(shè)備和服務(wù)器，可以竊取私人信息，如密碼、財(cái)務(wù)信息或使用這些芯片來(lái)儲(chǔ)存的任何信息。

對(duì)于加密貨幣來(lái)說(shuō)，令人觸目驚心的是：黑客可以利用特定的攻擊載體來(lái)盜取用戶在區(qū)塊鏈上控制自己比特幣的私人密鑰。

Popular Mechanics 網(wǎng)站稱這是一個(gè)“可怕的”漏洞，認(rèn)為“這個(gè)漏洞最令人不安的部分”是“很難讓人對(duì)其進(jìn)行抗?fàn)帯?，而安全研究人員撰寫的一篇信息頁(yè)面披露指出，“你完全被這個(gè)漏洞給帶進(jìn)去了”。

盡管沒(méi)有證據(jù)表明有任何密碼泄露，但專家表示，如果黑客或NSA一直在利用此次攻擊，最終密碼的泄露就不足為奇了。

如果您已經(jīng)遵循了加密貨幣存儲(chǔ)的最佳操作方式，那么您可能不用擔(dān)心此類問(wèn)題。但如果不是，或者如果你是一個(gè)新用戶，專家提醒您把私人密鑰放在安全的設(shè)備上是尤為重要的。

比特幣的核心開(kāi)發(fā)者Bryan Bishop對(duì)CoinDesk就“安全更重要”做出了以下闡述：

“一個(gè)具有足夠知識(shí)水平的漏洞攻擊者，理論上可以迫使你的CPU泄露秘密數(shù)據(jù)，甚至控制你加密貨幣的私人密鑰?！?/p>

1.在安全的設(shè)備上儲(chǔ)存密鑰

需要注意的是，在安全設(shè)備上存儲(chǔ)私鑰的建議屢見(jiàn)不鮮。（長(zhǎng)期以來(lái)，加密開(kāi)發(fā)者一直警告不要將私人密鑰存儲(chǔ)在筆記本電腦或其他與互聯(lián)網(wǎng)交互的設(shè)備上。）

新用戶容易忽視掉的一點(diǎn)是：比特幣和其他加密貨幣盡管是安全協(xié)議，但它們必須與開(kāi)放的互聯(lián)網(wǎng)和普通計(jì)算機(jī)進(jìn)行交互作用。簡(jiǎn)而言之，將私有密鑰存儲(chǔ)在如此靠近互聯(lián)網(wǎng)的密鑰中，可能會(huì)使用戶暴露導(dǎo)致黑客進(jìn)行盜竊行為。

新的CPU漏洞使情況變得更糟的原因是這些一系列的操作存在錯(cuò)誤的可能性。

加密貨幣的核心貢獻(xiàn)者Jonas Schnelli說(shuō)：“如果內(nèi)存問(wèn)題無(wú)法受到真正的保護(hù)，那么一個(gè)瀏覽器插件，甚至一個(gè)網(wǎng)站都可以訪問(wèn)你的私人密鑰。”

這個(gè)問(wèn)題的全部細(xì)節(jié)還沒(méi)有公開(kāi)，所以目前還不清楚確切的攻擊載體是什么。盡管如此，其他人認(rèn)為可能依然會(huì)受到類似的影響。

Bishop補(bǔ)充道：如果你想嘗試這類漏洞帶來(lái)的影響，你所要做的就是點(diǎn)擊一個(gè)偶然的鏈接，也許你最終會(huì)在一個(gè)網(wǎng)站上使用惡意軟件代碼竊取你的數(shù)據(jù)”。

雖然這些場(chǎng)景聽(tīng)起來(lái)可能有些牽強(qiáng)，但大多數(shù)今天的惡意軟件都能窺探到類似的漏洞，而這些漏洞還有待修補(bǔ)。我們無(wú)法預(yù)測(cè)誰(shuí)和誰(shuí)什么時(shí)候會(huì)被擊中。

現(xiàn)在，用戶可以使用操作系統(tǒng)補(bǔ)丁來(lái)修補(bǔ)他們的Windows、Mac和Linux設(shè)備。但是，對(duì)于加密貨幣的用戶來(lái)說(shuō)，更好的選擇是不把私鑰儲(chǔ)存在一個(gè)聯(lián)網(wǎng)的設(shè)備上，這是在這個(gè)漏洞特殊之前的一個(gè)普遍建議。

而 Ledger 和Trezor.一種選擇是將私鑰存儲(chǔ)在所謂的“硬件錢包”中，雖然這些小設(shè)備可能不那么容易使用，但它們更安全，因?yàn)樗鼈兣c互聯(lián)網(wǎng)沒(méi)有連接。

Pavol Rusnak作為特佐爾公司的首席技術(shù)官，他說(shuō)，“使用硬件錢包現(xiàn)在比以往任何時(shí)候都更重要！”以太坊的開(kāi)發(fā)者Lefter Karapetsas也隨之說(shuō)道，“我打賭，CPU的崩潰能夠?qū)е掠布X包的業(yè)務(wù)開(kāi)展?！?/p>

2.改變儲(chǔ)存密鑰設(shè)備

除了個(gè)人消費(fèi)設(shè)備以外，一個(gè)更大、更令人擔(dān)憂的目標(biāo)是加密貨幣交易所和企業(yè)，它們同時(shí)為數(shù)百萬(wàn)用戶存儲(chǔ)加密貨幣的私鑰。

一些加密貨幣的交易所使用云托管服務(wù)，如亞馬遜網(wǎng)絡(luò)服務(wù)和谷歌云來(lái)運(yùn)行它們的網(wǎng)站時(shí)就不是自旋它們自己的服務(wù)器。

盡管這些平臺(tái)讓網(wǎng)站更容易管理，但它們尤其容易受到這些攻擊。從理論上講，黑客可以使用與加密貨幣初創(chuàng)公司相同的硬件，在這樣的云平臺(tái)上運(yùn)行操作以至于突然可以訪問(wèn)所有數(shù)據(jù)。 在密碼世界中，黑客可以假設(shè)使用這個(gè)攻擊載體來(lái)竊取私鑰。

一方面，許多最受歡迎的云平臺(tái)很快就解決了修復(fù)問(wèn)題。另一方面，研究人員擔(dān)心，根深蒂固的漏洞可能會(huì)導(dǎo)致不固定的變異，會(huì)產(chǎn)生揮之不去的影響。