根据加密软件研究人员Mo Nokhbeh发布的博客,由于自2019年以来该漏洞一直存在于平台上,因此Ledger Wallet应用面临着被利用的危险。根据Mo的说法,用户可以发送比特币(BTC)而不是其他比特币叉,例如BTC测试网,莱特币,比特币现金等,即使他们选择了“叉”,也不会知道。
要使用Ledger硬件钱包,用户必须在USB驱动器上安装相应的应用程序,以允许用户持有不同类型的数字货币。 但是,一次只能打开一个应用程序,以确保安全性和应用程序的完全隔离。
BTC及其对应的fork会出现问题,例如,如果您的Litecoin应用已打开且正在运行并且您希望发送LTC,则钱包将提示您确认比特币交易,同时界面将其作为LTC交易呈现给Litecoin地址。 如果您接受确认,则会从您的钱包中发送完全有效的BTC交易,而不是便宜的山寨币分叉。
阅读更多>>流行的硬件加密钱包分类帐中的数据泄露影响数百万; 特雷佐射击
与分类帐交互
Mo一直就Ledger平台的脆弱性向Ledger团队发出声音,但Mo声称自己的哭声充耳不闻,并且问题持续了一年半。 Ledger的发言人在Decrypt上发布的回复中说,延迟的主要原因是安全研究人员使用的通信渠道。 发言人说,
“研究人员通过多种方式与我们联系-主要是Twitter DM。 进行漏洞赏金的合适媒介仍然是专用的电子邮件地址[email protected]。 因此,我们在此时间表上的观点有所不同,对于造成的误解,我们深表歉意。”
然而,诺赫贝否认了这一说法,称他是在2020年6月才通过官方渠道多次尝试失败后才发送Twitter DM。
阅读更多>>加密硬件钱包分类帐:发现“ BigSpender”漏洞后,“资金是安全的”
Ledger App漏洞的解决方案
Ledger在一份针对可能的利用的声明中说,该漏洞的出现是安全性和可用性之间的权衡,尤其是对于比特币网络而言。 在钱包的外部安全性保持稳定的同时,Ledger允许遵循与顶级加密货币相同的派生路径的比特币分叉/衍生物派生公钥或签署比特币交易。 读着
“有些BTC分支使用与BTC相同的派生路径。 如果我们阻止这些分支使用BTC派生路径,那么这将仅阻止用户将Ledger Nano S / X与这些分支一起使用。”
该声明进一步指出,该问题的解决方案已在新的更新中发布,并在用户的预期交易和确认交易不匹配时警告用户。
我们要感谢研究人员帮助我们使Ledger Nanos更安全。 今天将发布新版本的比特币应用程序,其中更新将显示警告,并在使用意外路径时提示您进行确认,从而解决此问题。
-Ledger(@Ledger)2020年8月5日
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。