当前位置:主页>产 业>业界新闻>

Ledger硬件钱包存在漏洞,通过MITM可篡改钱包地址

  近日,刚获得7500万美元B轮融资的加密货币硬件钱包“Ledger”被曝存在漏洞,且已经由匿名安全研究员确认,网络犯罪分子可利用该漏洞向Ledger使用者展示欺诈性钱包地址,最终导致虚拟货币被转移到攻击者的钱包中。



 

硬件钱包通常被认为是存储加密货币最安全的选择,但是这次Ledger的新漏洞无疑注明了即便是硬件钱包,也无法完全保证用户的虚拟财产安全。

Ledger官方于2月3日在推特上发推承认了该设计缺陷,并附带了一个报告详述了漏洞细节【点此查看】。该报告称,Ledger钱包在每次收到付款时都会生成一个新地址,不过如果电脑感染了恶意软件,那么当用户试图生成地址以转移加密货币时,攻击者可通过中间人攻击将加密货币转移到欺诈地址。

在侵入计算机之后,攻击者可以暗中替换生成唯一钱包地址的代码(由于Ledger钱包在电脑上运行JavaScript代码,所以如果电脑感染了恶意软件,那么所有要做的就只有将生成地址的代码替换成指向攻击者钱包的代码),从而将这些加密货币转移到攻击者的钱包中。报告强调说:“攻击者可能会控制你的电脑屏幕,然后向你展示一个错误地址,因此他就成了这次交易中的唯一受益人。”

报告也提到,如果想防止诸如此类的攻击,用户必须在转移资金之前确认钱包地址是否正确,验证的具体步骤是点击二维码下方的按钮。点击之后会显示硬件钱包的地址,用户可据此验证。但是这种方法没法用于以太币钱包插件,也就是说如果使用后者,用户将无法验证地址是否正确。



 

该报告的作者称:“如果你在用以太坊应用程序,那么在该问题未得到解决之前,一定要保证在没有恶意软件的电脑上使用。”

发现该漏洞的安全研究人员也表示该公司并未严肃处理他们的发现,“我们直接联系了Ledger的CEO和CTO以便私下解决问题,然后收到了一个回复,要求提供攻击细节,之后我们的邮件被忽略了三个星期,最后得到答复说不会进行任何修复。”研究人员称,“虽然Ledger的CTO说不会进行任何修复(提醒用户验证地址的建议也被拒绝),但是他们称会致力于提高公众意识,以防止用户受到此类攻击。”

通过恶意软件篡改钱包地址只是冰山一角,近日就有网友moddyrocket在Reddit上发帖,称自己在eBay上买了个二手Ledger,但是一周没用,钱就全部消失了。



 

据Reddit上的信息,钱包卖家预先在设备中写入了recovery seed,而不是采用原厂的random seed,所以导致了这位买家的财产损失。所以除了恶意软件篡改导致的损失之外,Ledger硬件钱包使用者也需要注意第三方卖家手中的Ledger钱包。正如前文所提到的,就算硬件钱包十足安全,使用者也可能会成为薄弱环节,在防范恶意软件的同时,也不要为了节省时间或金钱购买来源不可靠的Ledger钱包。

(责任编辑:安博涛)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

石油币进展似乎有条不紊 但实际上它只是一

石油币进展似乎有条不紊 但实际上它只是一场欺诈?

周一(2月26日)加密货币市场普遍微跌,总体跌幅不大,以太坊经典和应用链跌幅为-5.66...[详细]

“拿不住”的比特币玩家:“币圈一天,人间

“拿不住”的比特币玩家:“币圈一天,人间一年”

胡君(化名)坐在饭桌的对面,满脸阴郁。“我们先说好,今天只谈区块链,不谈比特币。...[详细]

六大常见的云安全误区

六大常见的云安全误区

对于“云/云计算”这一名词大家可能早已耳熟能详,而且随着越来越多的企业开始将他们...[详细]

研究报告:网络犯罪所造成的经济损失

研究报告:网络犯罪所造成的经济损失

一、网络犯罪概述 网络犯罪(网络犯罪)冷酷无情,数量有增无减,并且永无止境。这种犯...[详细]

流感高发季省级儿童医院竟遭病毒勒索

流感高发季省级儿童医院竟遭病毒勒索

气愤!春节刚过勒索病毒就入侵儿童医院 2月24日消息,据微博网友爆料,国内一家省级儿...[详细]

返回首页 返回顶部