LEDGER硬件錢包存在漏洞 通過MITM可篡改錢包地址

硬件錢包通常被認為是存儲加密貨幣最安全的選擇，但是這次Ledger的新漏洞無疑注明了即便是硬件錢包，也無法完全保證用戶的虛擬財產(chǎn)安全。

Ledger官方于2月3日在推特上發(fā)推承認了該設(shè)計缺陷，并附帶了一個報告詳述了漏洞細節(jié)。該報告稱，Ledger錢包在每次收到付款時都會生成一個新地址，不過如果電腦感染了惡意軟件，那么當用戶試圖生成地址以轉(zhuǎn)移加密貨幣時，攻擊者可通過中間人攻擊將加密貨幣轉(zhuǎn)移到欺詐地址。

在侵入計算機之后，攻擊者可以暗中替換生成唯一錢包地址的代碼（由于Ledger錢包在電腦上運行Java代碼，所以如果電腦感染了惡意軟件，那么所有要做的就只有將生成地址的代碼替換成指向攻擊者錢包的代碼），從而將這些加密貨幣轉(zhuǎn)移到攻擊者的錢包中。報告強調(diào)說：“攻擊者可能會控制你的電腦屏幕，然后向你展示一個錯誤地址，因此他就成了這次交易中的唯一受益人?！?/p>

報告也提到，如果想防止諸如此類的攻擊，用戶必須在轉(zhuǎn)移資金之前確認錢包地址是否正確，驗證的具體步驟是點擊二維碼下方的按鈕。點擊之后會顯示硬件錢包的地址，用戶可據(jù)此驗證。但是這種方法沒法用于以太幣錢包插件，也就是說如果使用后者，用戶將無法驗證地址是否正確。

該報告的作者稱：“如果你在用以太坊應(yīng)用程序，那么在該問題未得到解決之前，一定要保證在沒有惡意軟件的電腦上使用?！?/p>

發(fā)現(xiàn)該漏洞的安全研究人員也表示該公司并未嚴肅處理他們的發(fā)現(xiàn)，“我們直接聯(lián)系了Ledger的CEO和CTO以便私下解決問題，然后收到了一個回復(fù)，要求提供攻擊細節(jié)，之后我們的郵件被忽略了三個星期，最后得到答復(fù)說不會進行任何修復(fù)?！毖芯咳藛T稱，“雖然Ledger的CTO說不會進行任何修復(fù)（提醒用戶驗證地址的建議也被拒絕），但是他們稱會致力于提高公眾意識，以防止用戶受到此類攻擊?！?/p>

通過惡意軟件篡改錢包地址只是冰山一角，近日就有網(wǎng)友moddyrocket在Reddit上發(fā)帖，稱自己在eBay上買了個二手Ledger，但是一周沒用，錢就全部消失了。

據(jù)Reddit上的信息，錢包賣家預(yù)先在設(shè)備中寫入了recovery seed，而不是采用原廠的random seed，所以導(dǎo)致了這位買家的財產(chǎn)損失。所以除了惡意軟件篡改導(dǎo)致的損失之外，Ledger硬件錢包使用者也需要注意第三方賣家手中的Ledger錢包。正如前文所提到的，就算硬件錢包十足安全，使用者也可能會成為薄弱環(huán)節(jié)，在防范惡意軟件的同時，也不要為了節(jié)省時間或金錢購買來源不可靠的Ledger錢包。

（文章來源：BITKAN 原文標題：LEDGER硬件錢包存在漏洞，通過MITM可篡改錢包地址）

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。