中国ESP32 芯片导致了数亿台加密货币钱包存在致命漏洞

type

Post

status

Published

date

Jul 2, 2021

slug

esp32

summary

近日，网络安全公司Crypto Deep Tech披露，广泛应用于比特币硬件钱包（如Blockstream Jade）的中国ESP32芯片被发现存在严重安全漏洞（CVE-2025-27840），引发全球加密货币圈巨大震动。该芯片不仅用于比特币钱包，还广泛分布于物联网设备中，受影响设备数量以十亿计

漏洞核心：微型芯片变“后门”入口

研究机构 Crypto Deep Tech 指出，ESP32 芯片被广泛应用于智能门铃、可穿戴设备甚至硬件钱包（如 Blockstream Jade）中，其内置 Wi-Fi 与蓝牙功能虽带来便利，但也成为潜在攻击通道。

报告警告称，攻击者可以通过模块更新植入隐蔽漏洞，诱发供应链攻击（Supply Chain Attack），一旦设备被攻陷，攻击者可能远程访问比特币私钥或执行未授权转账。

*来源：Crypto Deep Tech

被揭示的六大核心漏洞

报告披露了多个严重技术缺陷：

has_invalid_privkey：系统未能拒绝非法（≤0）的私钥，允许使用无效密钥进行签名，直接导致资金损失。

electrum_sig_hash：非标准消息哈希方法使其与 BIP-137 不兼容，从而可被用于签名伪造。

random_key：内置的伪随机数生成器（PRNG）熵值极低，攻击者可预测私钥。

multiply：椭圆曲线计算中缺乏曲线点验证，允许通过无效曲线攻击绕过验证。

ecdsa_raw_sign：在还原公钥Y坐标时存在缺陷，可用于伪造公钥。

bin_ripemd160：使用已废弃的哈希API，使网络易受哈希碰撞攻击及旧版加密库漏洞影响。

图示中的安全分析显示，以上缺陷可导致资金丢失、签名被伪造、密钥被预测甚至网络基础架构受到攻击。

实测：10枚比特币私钥成功被提取

研究人员通过模拟攻击，利用受影响设备构造原始交易（RawTX）并恢复其真实私钥。在实验中，成功提取的私钥控制着一个包含**10枚比特币（现市值数十万美元）**的钱包，凸显威胁的严重性：

目前，Crypto Deep Tech等安全机构已向相关厂商和开发者发出紧急通报，呼吁尽快修复固件并加强硬件安全。专家建议，使用含ESP32芯片硬件钱包的用户务必密切关注官方安全公告，及时升级固件，切勿在漏洞未修复前继续存储大量加密资产。

此次事件凸显了硬件安全在加密货币和物联网时代的极端重要性。微小的芯片漏洞，可能引发全球范围的数字资产危机。

💡

参考链接：

TelegramAPPDO 数字生活指南

APPDO 数字生活指南

#互联网观察 #网络安全 #加密货币 ⚠️中国ESP32 芯片导致了数亿台加密货币钱包存在致命漏洞近日，网络安全公司Crypto Deep Tech披露，广泛应用于比特币硬件钱包（如Blockstream Jade）的中国ESP32芯片被发现存在严重安全漏洞（CVE-2025-27840），引发全球加密货币圈巨大震动。该芯片不仅用于比特币钱包，还广泛分布于物联网设备中，受影响设备数量以十亿计。漏洞核心在于ESP32芯片的随机数生成器熵值严重不足，黑客可通过暴力破解方式推测或窃取钱包私钥。此外，芯片的模块更新机制也存在安全隐患，攻击者可远程伪造交易签名，甚至注入恶意代码，直接威胁用户数字资产安全。安全专家已在真实环境下成功利用该漏洞破解了一个持有10枚比特币的钱包，充分证明风险的现实性和危害性。研究团队警告，黑客甚至有可能发动大规模攻击，针对个人、企业甚至国家级目标，造成难以估量的损失。本文参考来源：https://t.me/appdopic/1470 ⚠️请使用ESP32 芯片的用户注意潜在风险全球已有数十亿搭载 ESP32 的设备面临潜在风险，包括加密货币钱包、IoT网关及企业内部控制系统。不过，由于ESP32的开源生态，一般存在问题的都是自制硬件钱包项目，这些项目通常基于Blockstream Jade的固件进行二次开发。因此市场常见的知名钱包用户无需过分担心。请各位用户尽快自查手中的钱包是否采用了ESP32 芯片，并转移其内部资产。频道 @AppDoDo 官推 @APPDOTG

漏洞核心：微型芯片变“后门”入口

被揭示的六大核心漏洞

实测：10枚比特币私钥成功被提取

Simon

交流频道

加入我们的社群讨论分享