您现在的位置: 比特财富网 >> 区块链 >  >> 區塊鏈百科
LEDGER硬件錢包存在巨大安全漏洞,通過MITM可篡改錢包地址
近日,剛獲得7500萬美元B輪融資的加密貨幣硬件錢包“Ledger”被曝存在漏洞,且已經由匿名安全研究員確認,網絡犯罪分子可利用該漏洞向Ledger使用者展示欺詐性錢包地址,最終導致虛擬貨幣被轉移到攻擊者的錢包中。www.emoneybtc.com


硬件錢包通常被認為是存儲加密貨幣最安全的選擇,但是這次Ledger的新漏洞無疑注明了即便是硬件錢包,也無法完全保證用戶的虛擬財產安全。
Ledger官方於2月3日在推特上發推承認了該設計缺陷,並附帶了一個報告詳述了漏洞細節。該報告稱,Ledger錢包在每次收到付款時都會生成一個新地址,不過如果電腦感染了惡意軟件,那麼當用戶試圖生成地址以轉移加密貨幣時,攻擊者可通過中間人攻擊將加密貨幣轉移到欺詐地址。
在侵入計算機之後,攻擊者可以暗中替換生成唯一錢包地址的代碼(由於Ledger錢包在電腦上運行Java代碼,所以如果電腦感染了惡意軟件,那麼所有要做的就只有將生成地址的代碼替換成指向攻擊者錢包的代碼),從而將這些加密貨幣轉移到攻擊者的錢包中。報告強調說:“攻擊者可能會控制你的電腦屏幕,然後向你展示一個錯誤地址,因此他就成了這次交易中的唯一受益人。”
報告也提到,如果想防止諸如此類的攻擊,用戶必須在轉移資金之前確認錢包地址是否正確,驗證的具體步驟是點擊二維碼下方的按鈕。點擊之後會顯示硬件錢包的地址,用戶可據此驗證。但是這種方法沒法用於以太幣錢包插件,也就是說如果使用後者,用戶將無法驗證地址是否正確。
該報告的作者稱:“如果你在用以太坊應用程序,那麼在該問題未得到解決之前,一定要保證在沒有惡意軟件的電腦上使用。”
發現該漏洞的安全研究人員也表示該公司並未嚴肅處理他們的發現,“我們直接聯系了Ledger的CEO和CTO以便私下解決問題,然後收到了一個回復,要求提供攻擊細節,之後我們的郵件被忽略了三個星期,最後得到答復說不會進行任何修復。”研究人員稱,“雖然Ledger的CTO說不會進行任何修復(提醒用戶驗證地址的建議也被拒絕),但是他們稱會致力於提高公眾意識,以防止用戶受到此類攻擊。”
通過惡意軟件篡改錢包地址只是冰山一角,近日就有網友moddyrocket在Reddit上發帖,稱自己在eBay上買了個二手Ledger,但是一周沒用,錢就全部消失了。
據Reddit上的信息,錢包賣家預先在設備中寫入了recovery seed,而不是采用原廠的random seed,所以導致了這位買家的財產損失。所以除了惡意軟件篡改導致的損失之外,Ledger硬件錢包使用者也需要注意第三方賣家手中的Ledger錢包。正如前文所提到的,就算硬件錢包十足安全,使用者也可能會成為薄弱環節,在防范惡意軟件的同時,也不要為了節省時間或金錢購買來源不可靠的Ledger錢包。
  • “平台化”和“區塊鏈”或將改變物流行業

    當前,物流和航運業正在發生重大變化,而這一轉變有望比上一代人轉向第三方物流更具戲劇性。隨著數字化程度的提高,基於平台的商業模式將連接新玩

  • 保險也成區塊鏈最理想落地場景

    中國市場學會理事經濟學教授張銳   “區塊鏈可以打通保險機構與其他相關組織之間數據共享的‘最後一公裡’,並創造出信息資源服務公眾

  • 區塊鏈不能只是炒幣的代名詞

    區塊鏈始於金融,它曾被看作是去中心化的貨幣代表,防止通貨膨脹的利器,搭載著人們對金融危機原罪的思考。但是,這樣的思考很快就變了味,比特幣等

  • 區塊鏈+文化與教育

    在文化產業中,版權是非常重要的一環,比如音樂娛樂產業中,大到電影劇本,唱片,IP授權,小到一首背景音樂(BGM),甚至是一段素材片段,都會

  • 區塊鏈商業落地的過程中將面臨那些問題與挑戰?

    據了解,經過了 2017 年的爆發式增長後,區塊鏈行業進入平穩期,同時還未出現殺手級的 技術框架和技術應用。區塊鏈的創新發展,仍然依托於現

  • 期貨黃金漲停多久

        黃金期貨的漲停成為了當下新的亮點,越來越多的機構和人們關注對於黃金投資的機會,也因為其他很多因素導致了黃金期貨

  • 原油期貨可以跌成負數是真的嗎

    原油期貨價格跌成了負數,要趕緊買入?快住手!   還有人會想,那不投資原油期貨,去買原油的基金呢? 絕大多數的原油基金投

  • 現代貨幣主義

    現代貨幣主義(Modern Monetarist) 什麼是現代貨幣主義   現代貨幣主義是在美國經濟學家米爾頓·弗裡德曼的大力倡導

  • 假催收會一直催收嗎?

    最佳答案: 你可以試試用開頭數字的方式進行屏蔽,而不是僅僅將某個電話號碼進行屏蔽。另外,你可以考慮向

  • 中國銀行:如何查詢我已簽訂的支付協議信息?

    來自中國銀行官網回答:您可以登錄網銀,在“協議支付-簽約關系查詢”菜單下查詢已簽訂的支付協議信息。您也可

  風險提示:比特財富網的各種信息資料僅供參考,不構成任何投資建議,不對任何交易提供任何擔保,亦不構成任何邀約,不作為任何法律文件,投資人據此進行投資交易而產生的後果請自行承擔,本網站不承擔任何責任,理財有風險,投資需謹慎。
比特財富網 版權所有 © www.emoneybtc.com