关键事实:
莱杰谴责市场上所有钱包都存在同样的错误。
尽管有声明,但Shift Crypto声称其投资组合不具有此类漏洞。
硬件钱包由于其高度的安全性而在加密货币市场中脱颖而出。 但是,最近的发现使人们对这些存储设备的声誉产生怀疑,因为有消息称几家公司知道他们的钱包设计存在漏洞,这种漏洞会导致盗窃比特币,而没有立即进行修复。
有争议的发现从昨天开始,此前网络安全专家莫诺克(Monokh)谴责有可能从莱杰钱包中窃取比特币。 大约一天后,确认SatoshiLabs Trezor钱包也有相同的设计错误,这是整个硬件钱包行业所熟知的。
除了这两个市场的重量级人物之外,Shapeshift的KeepKey产品组合还增加了Ledger的第三份投诉。 尚未确认或拒绝其硬件设备中存在此漏洞的公司。
但是这些大惊小怪的是什么呢? 导致脱机钱包最受认可的竞争对手中的牌下降的漏洞是什么? 研究员Monokh在其个人博客中的帖子中解释说:这些资金可以通过使用基于比特币的加密货币执行欺骗性交易而被盗。 也就是说,使用诸如比特币现金,Litecoin和来自比特币测试网络的硬币之类的叉子。
发生这种情况的原因是钱包的设计精巧,可让您管理不同加密货币的密钥和地址。 但是,钱包没有共享这些资产中每个资产的功能,而是共享相同的比特币路由来导出该加密货币所有分叉的密钥。 从这个意义上讲,当用户使用比特币现金或莱特币钱包时,他还公开了他的比特币钱包的公钥和签名功能。
恶意第三方可以利用此漏洞,例如黑客制作的应用程序或不可靠的交换所。 那些提供将钱包与他们的系统同步的服务的人可以利用该错误来发起假定的BCH或LTC交易,而实际上他们正在主网络上进行比特币交易。
更令人担忧的是钱包不能将欺骗性交易与正常交易区分开。 这些设备向用户显示山寨币的交易,就好像它们是这样,而不管所述交易的路线是否真的朝着比特币的方向发展。 因此,用户甚至可以在不知道自己被盗的情况下签署恶意交易。
Trezor和Ledger知道了这个错误,什么也没说。
设计缺陷本身已经令人不安,但是在对Ledger(第一家被曝光的公司)的批评浪潮中,加密货币社区被高举了,因为自2019年1月以来,董事会一直了解此漏洞。 Monokh保证,到那时他已将错误通知了公司,但他们对解决该错误没有真正的兴趣。
因此,研究人员决定在他的个人博客上发布报告,以敦促Ledger纠正漏洞。 不久之后,莱杰(Ledger)通过一份机构声明作出回应,确认其钱包中存在错误并承诺予以解决。
今天,该公司发布了其Ledger Nano S,X和Blue钱包的新固件版本,在此更新中,他们引入了补丁来减轻此漏洞的影响。 这不是操作系统的限制,而是每次使用错误的路线进行交易时,都会在用户设备上显示一个警告窗口。 以这种方式,试图防止用户接受欺骗性交易而不实际知道它。
Ledger的解决方案并未使加密货币社区的成员满意,他们认为,对于一个严重的问题,他们更像是不冷不热的人。 例如,CriptoNoticias的创始人HéctorCárdenas在一条推文中发表了评论,称Ledger“通过显示您被抢劫的警报来解决此漏洞”。
Cárdenas的评论得到了Ledger团队的回应,后者保证“所有钱包都存在相同的问题”,并强调这是该行业自首个比特币分叉以来遭受的挫折。 令人惊讶的反应使诸如SatoshiLabs和Shapeshift之类的公司受到了飓风的关注,而飓风对此一直保持沉默。
此外,莱杰(Ledger)发表了一系列推文,以确保这两个钱包的设计与其设备相同,因此它们也容易受到这种攻击。 他还补充说,他们已经陷入了两难的困境?在安全性和可用性之间进行选择?他们的加密货币钱包。
在这些声明中,负责开发Trezor钱包的公司SatoshiLabs没有发表正式声明,并承担了所有这些争议的责任。 但是,它确实发布了新闻稿以报告其Trezor T和Trezor One型号的最新更新。
在对这些设备进行的更改中,有一个用于“路径隔离”的补丁,确认他也具有相同的Ledger漏洞,并且将通过弹出消息修复该漏洞每次记录有误导性的交易。
另一方面,Shapeshift并未对Ledger的推文发表任何回应,也未传达其固件的更新。 保持沉默,使您无法了解KeepKey钱包的当前状况。
在这些公司受到社区审查的同时,诸如Shift Crypto之类的公司已经加紧努力,确保并非所有的硬件钱包行业都具有相同的设计。该公司指出,其BitBox02钱包始终将彼此的加密货币应用程序彼此隔离,因此在与山寨币进行交易时,不会暴露任何公钥或比特币签名功能。
这种情况的结果及其可能的解决方案仍不清楚。 只要某些公司保持沉默,而其他公司会即时纠正错误,则仍然存在不确定性,即弹出窗口是否真的足以保护Ledger和Trezor用户的资金免受其拥有的复杂欺骗工具的侵害。今天的黑客
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。