LEDGER硬件钱包存在漏洞 通过MITM可篡改钱包地址

硬件钱包通常被认为是存储加密货币最安全的选择,但是这次Ledger的新漏洞无疑注明了即便是硬件钱包,也无法完全保证用户的虚拟财产安全。

Ledger官方于2月3日在推特上发推承认了该设计缺陷,并附带了一个报告详述了漏洞细节。该报告称,Ledger钱包在每次收到付款时都会生成一个新地址,不过如果电脑感染了恶意软件,那么当用户试图生成地址以转移加密货币时,攻击者可通过中间人攻击将加密货币转移到欺诈地址。

在侵入计算机之后,攻击者可以暗中替换生成唯一钱包地址的代码(由于Ledger钱包在电脑上运行Java代码,所以如果电脑感染了恶意软件,那么所有要做的就只有将生成地址的代码替换成指向攻击者钱包的代码),从而将这些加密货币转移到攻击者的钱包中。报告强调说:“攻击者可能会控制你的电脑屏幕,然后向你展示一个错误地址,因此他就成了这次交易中的唯一受益人。”

报告也提到,如果想防止诸如此类的攻击,用户必须在转移资金之前确认钱包地址是否正确,验证的具体步骤是点击二维码下方的按钮。点击之后会显示硬件钱包的地址,用户可据此验证。但是这种方法没法用于以太币钱包插件,也就是说如果使用后者,用户将无法验证地址是否正确。

该报告的作者称:“如果你在用以太坊应用程序,那么在该问题未得到解决之前,一定要保证在没有恶意软件的电脑上使用。”

发现该漏洞的安全研究人员也表示该公司并未严肃处理他们的发现,“我们直接联系了Ledger的CEO和CTO以便私下解决问题,然后收到了一个回复,要求提供攻击细节,之后我们的邮件被忽略了三个星期,最后得到答复说不会进行任何修复。”研究人员称,“虽然Ledger的CTO说不会进行任何修复(提醒用户验证地址的建议也被拒绝),但是他们称会致力于提高公众意识,以防止用户受到此类攻击。”

通过恶意软件篡改钱包地址只是冰山一角,近日就有网友moddyrocket在Reddit上发帖,称自己在eBay上买了个二手Ledger,但是一周没用,钱就全部消失了。

据Reddit上的信息,钱包卖家预先在设备中写入了recovery seed,而不是采用原厂的random seed,所以导致了这位买家的财产损失。所以除了恶意软件篡改导致的损失之外,Ledger硬件钱包使用者也需要注意第三方卖家手中的Ledger钱包。正如前文所提到的,就算硬件钱包十足安全,使用者也可能会成为薄弱环节,在防范恶意软件的同时,也不要为了节省时间或金钱购买来源不可靠的Ledger钱包。

(文章来源:BITKAN 原文标题:LEDGER硬件钱包存在漏洞,通过MITM可篡改钱包地址)

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。