普渡大学与佐治亚理工学院研究团队公开WireTap研究论文，揭露一种利用DDR4 DRAM总线插接与窃听的实现方式，可在仅具备基本电工工具与市售零件的前提下，监控服务器内存往返总线的加密流量，在单次认证签名流程中，通过恢复该次ECDSA签名所用的随机数（Nonce），进而推导出SGX Quoting Enclave的ECDSA私钥，从而签发可被官方验证程序接受的伪造认证报告，动摇依赖SGX远程认证建立的信任链。

WireTap的做法是在主板与DDR4内存模块之间插入被动转接器，并连接逻辑分析仪以观测加密后的DRAM读写操作。研究人员指出，服务器平台上与SGX相关的内存加密采用确定性加密（Deterministic Encryption），使得同一明文在相同条件下对应固定的密文，攻击者因此能够建立密文与明文之间的映射关系，对常数时间密码运算造成可利用的信息泄露。

在此基础上，研究团队成功实现了对SGX Quoting Enclave的完整密钥恢复，获得ECDSA签名密钥后可签发任意SGX报告。研究团队提供了伪造的SGX Quote及验证脚本，证明该认证报告（Quote）能被Intel的DCAP Quote Verification Library接受，且报告中不可能出现的测量值仍被判定为可信状态。

实际系统风险评估

研究同时评估了实际系统的风险。在Secret Network案例中，研究团队在测试网中通过伪造认证报告加入节点并获取共识种子（Consensus Seed），进而解密交易内容。对于Phala与Crust，论文说明可分别伪装可信执行环境以访问数据，或伪造存储领取奖励。Integritee因其注册与信任机制依赖SGX认证，也可能被伪装节点滥用。上述影响均源于认证链可被伪造，并非破坏共识协议本身。

WireTap的实现门槛并不高，团队表示整套装置成本低于1000美元，材料一般市面上即可取得，且无需实验室级别环境，增强了该攻击在现实中的可行性。

影响范围与防护建议

影响范围以第3代Intel Xeon Scalable处理器为主。研究称较早期的Core与Xeon-E因采用不同的内存加密引擎而不受此技术影响，Xeon-D尚未确认；第4代与第5代Xeon需搭配DDR5，不在本次研究可利用的范围内。

在检测难度方面，研究指出一旦攻击完成，伪造的SGX认证报告与合法报告难以区分，事后几乎无法识别，目前未发现野外使用迹象。

Intel于9月30日发布说明，称WireTap与同期Battering RAM研究均假设攻击者具备通过总线插接获取物理邻近访问的能力，属于AES-XTS式内存加密保护边界之外，因此不计划分配CVE编号。

Intel建议在支持的处理器上启用Intel TME-MK（Total Memory Encryption-Multi-Key）的加密完整性保护模式，以抵御如Battering RAM等基于别名（Alias-based）的攻击。该功能已在第5代Xeon（Emerald Rapids）与Xeon 6 P核（Granite Rapids）中提供。同时提醒验证方应理解受信平台的物理防护属性，平台所有者可在认证过程中通过平台凭证识别并证明所控制的硬件环境。