Ledger和Trezor互懟 曝光硬件錢包的供應鏈攻擊

安全是一種狀態，即通過持續的危險識別和風險管理過程，將人員傷害或財產損失的風險降低并保持在可接受的水平或其以下。安全是一種相對狀態

安全是一種狀態，即通過持續的危險識別和風險管理過程，將人員傷害或財產損失的風險降低并保持在可接受的水平或其以下。安全是一種相對狀態，而非絕對結果，針對供應鏈攻擊，不同的公司會采用不同的方法來緩解這一問題。

在今年的 MIT 比特幣世博會上，硬件錢包廠商Ledger 在會議現場演示了針對同行 Trezor 的五種攻擊方式，其中一種方式就是供應鏈攻擊，Ledger和 Trezor 的互懟事件將硬件錢包的供應鏈攻擊“曝光”在大眾視野之中。

對于硬件團隊而言，供應鏈管理是一門必修課，供應鏈是十分復雜的，包含諸多環節，而每個環節都存在潛在風險，因此加強供應鏈的安全管理是一項非常復雜而又艱巨的工作。

對于安全，imKey 團隊自始至終懷有敬畏之心，著眼于 imKey 的供應鏈全生命周期過程，包含供應商篩選、物料采購、生產制造、倉儲管理、物流運輸、市場銷售、售后服務等階段，各環節均嚴格把關，并確保各項安全機制的有效實施。

imKey 團隊的供應鏈安全管理主要涉及以下方面：

?生產制造

?包裝

?貨品貯藏和運輸

?審批第三方參與者

源頭控制，精益生產

imKey 作為一款硬件錢包產品，不同于快速開發與版本迭代的熱錢包，除了保證軟件端的設計開發的安全性外，也把相當多的精力聚焦于是硬件生產供應鏈的管理。眾所周知，供應鏈管理向來是硬件創業的重中之重，是決定硬件產品成敗的關鍵因素。imKey 供應鏈的管理涵蓋供應商篩選、工業設計、配件選型、工程樣機、物料采購、BOM 物料入庫管理及來料良率把關、試產、大規模生產制造、產品質量控制、倉儲管理、物流網絡、市場銷售、售后服務等等諸多環節。

正因為imKey 團隊小伙伴們多年以來一直深耕智能硬件方向，涉及移動金融、數字身份認證、PKI密碼體系、智能卡、可穿戴設備等領域，因此具備了豐富的行業經驗和扎實的技術沉淀。imKey 團隊小伙伴們花費了無數個不眠日夜進行產品原型設計、優化、改進，同時也深知成熟、靠譜的生產制造商對于產品能否大規模量產以及產品的質量起著至關重要的作用。

在經過多輪洽談和多方論證評估后，imKey 團隊與國內知名的安全硬件供應商飛天誠信達成共識，并簽署了戰略合作協議，這為 imKey 提供了強有力的技術支持和供應鏈保障。

為了確保訂單按期交付以及產品質量，imKey 團隊奔赴生產車間，與工人共同奮戰一線。從貼片焊接、物料入庫全檢、焊接、組裝、QC到包裝，整整63個步驟，歷經14天時間，imKey 團隊全程參與，確保 imKey 錢包在生產過程嚴格遵循生產管理規程，并對產品進行了苛刻的全檢、抽檢，以確保產品達到預期良品率。經過了這一系列的過程，imKey團隊小伙伴們才放心把產品交到用戶手中。

同時，為了避免產品在供應鏈源頭被污染，一方面，錢包加入了防惡意篡改的安全設計，生產期間生產寫入時必須要進行全面校驗，并且產品首次使用時強制激活驗證，這極大提高了產品的安全性，另一方面，用于生產的專用工具由 imKey 團小伙伴使用專用設備現場親自導入生產服務器，確保數據自始至終都沒有被污染。

細節決定安全，不怕多此一舉

原廠包裝 & 不可逆封條 & 防偽激活驗證

為了預防物流運輸過程中 imKey 被惡意替換，產品做了兩層防護措施，一方面在包裝上采用不可逆封條，一旦撕開后將徹底無法恢復，并且發貨時必須采用飛天誠信的原廠包裝與膠帶，并約定包裝規則，作為貨物接收的簽收標準;另一方面產品在首次使用時要強制進行防偽激活驗證，如果是非法設備將會提示用戶。

順豐直郵，安全高效

為了確保貨品交付的安全、高效，imKey 團隊與飛天誠信簽訂協議，運輸方式采用順豐快遞。同時，imKey 團隊也對外承諾用戶下單后48小時內進行發貨，除非遇到不可抗力，運輸也同樣采用順豐快遞，以保證運輸的時效性和可靠性。

目前，imKey 團隊尚未授權其他任何個人、團體或公司經銷、代理 imKey 及周邊產品，每一臺 imKey設備均由 imKey 團隊小伙伴親自直郵送達。

專用倉儲，專人負責

目前針對產品倉儲，imKey團隊專門 建有杭州、北京兩個倉庫，充分做好防水、防火、防盜的倉儲管理安全措施，并由專人負責管理，供應鏈安全管理是預防供應鏈攻擊的最重要措施，重在點點滴滴的細節，安全無小事，imKey 團隊從來不怕「 多此一舉 」，并持續不斷優化精進，只為「 更安全 」。（imKey）

關鍵詞： Ledger Trezor 供應鏈攻擊