近日,剛獲得7500萬美元B輪融資的
加密貨幣硬件錢包“Ledger”被曝存在漏洞,且已經由匿名安全研究員確認,網絡犯罪分子可利用該漏洞向Ledger使用者展示欺詐性錢包地址,最終導致虛擬貨幣被轉移到攻擊者的錢包中。
硬件錢包通常被認為是存儲加密貨幣最安全的選擇,但是這次Ledger的新漏洞無疑注明了即便是硬件錢包,也無法完全保證用戶的虛擬財產安全。
Ledger官方于2月3日在推特上發推承認了該設計缺陷,并附帶了一個報告詳述了漏洞細節。該報告稱,Ledger錢包在每次收到付款時都會生成一個新地址,不過如果電腦感染了惡意軟件,那么當用戶試圖生成地址以轉移加密貨幣時,攻擊者可通過中間人攻擊將加密貨幣轉移到欺詐地址。
在侵入計算機之后,攻擊者可以暗中替換生成唯一錢包地址的代碼(由于Ledger錢包在電腦上運行Java代碼,所以如果電腦感染了惡意軟件,那么所有要做的就只有將生成地址的代碼替換成指向攻擊者錢包的代碼),從而將這些加密貨幣轉移到攻擊者的錢包中。報告強調說:“攻擊者可能會控制你的電腦屏幕,然后向你展示一個錯誤地址,因此他就成了這次交易中的唯一受益人。”
報告也提到,如果想防止諸如此類的攻擊,用戶必須在轉移資金之前確認錢包地址是否正確,驗證的具體步驟是點擊二維碼下方的按鈕。點擊之后會顯示硬件錢包的地址,用戶可據此驗證。但是這種方法沒法用于以太幣錢包插件,也就是說如果使用后者,用戶將無法驗證地址是否正確。
該報告的作者稱:“如果你在用
以太坊應用程序,那么在該問題未得到解決之前,一定要保證在沒有惡意軟件的電腦上使用。”
發現該漏洞的安全研究人員也表示該公司并未嚴肅處理他們的發現,“我們直接聯系了Ledger的CEO和CTO以便私下解決問題,然后收到了一個回復,要求提供攻擊細節,之后我們的郵件被忽略了三個星期,最后得到答復說不會進行任何修復。”研究人員稱,“雖然Ledger的CTO說不會進行任何修復(提醒用戶驗證地址的建議也被拒絕),但是他們稱會致力于提高公眾意識,以防止用戶受到此類攻擊。”
通過惡意軟件篡改錢包地址只是冰山一角,近日就有網友moddyrocket在Reddit上發帖,稱自己在eBay上買了個二手Ledger,但是一周沒用,錢就全部消失了。
據Reddit上的信息,錢包賣家預先在設備中寫入了recovery seed,而不是采用原廠的random seed,所以導致了這位買家的財產損失。所以除了惡意軟件篡改導致的損失之外,Ledger硬件錢包使用者也需要注意第三方賣家手中的Ledger錢包。正如前文所提到的,就算硬件錢包十足安全,使用者也可能會成為薄弱環節,在防范惡意軟件的同時,也不要為了節省時間或金錢購買來源不可靠的Ledger錢包。
版權申明:本內容來自于互聯網,屬第三方匯集推薦平臺。本文的版權歸原作者所有,文章言論不代表鏈門戶的觀點,鏈門戶不承擔任何法律責任。如有侵權請聯系QQ:3341927519進行反饋。
