LED:安全研究人员披露 Ledger 签名安全漏洞，漏洞或导致用户资金被盗

链闻消息，安全研究人员Monokh撰文披露加密货币钱包Ledger硬件钱包存在的安全漏洞。Monokh指出，该漏洞可能导致用户资金被盗。Ledger会在除比特币之外的应用程序上公开比特币密钥和签名信息，会提供误导性的交易确认请求。以比特币和莱特币应用程序为例，漏洞攻击路径为：1.打开莱特币应用程序；2.获取比特币隔离见证地址；3.根据地址查看UTXOs；4.发起比特币交易并发送给Ledger设备要求签名；5.得到有效的已签名比特币交易信息。Ledger本应在上述第二、第四步骤中识别错误并对其进行阻止，但仍然提示用户进行交易。所有固件版本和App版本均受到此漏洞影响。Monokh建议Ledger在实时应用程序目录上禁用山寨币应用程序，直至发布修补程序。根据漏洞披露进程表，2019年1月份，Monokh最初于2019年1月份向Ledger披露与隐私相关的安全漏洞，随后，Ledger更新了固件但未对应用程序进行更新，并表示在更新应用程序后将立即公开漏洞。2019年4月份，Monokh再次联系Ledger要求更新应用程序，但未得到反馈。今年5月份，Monokh将该漏洞的根本原因在签名功能方面，这可能会导致用户资金被盗。此后，Ledger称正在调查该漏洞。之后Monokh多次联系Ledger并要求披露漏洞并对其进行修复，但未得到回应，Ledger也没有修复或披露相关漏洞。

动态 | 调查：网络安全研究人员近期在区块链平台发现40多个漏洞:据dailyhodl报道，Hard Fork的一项调查显示，在2月13日至3月13日期间，网络安全研究人员在一些区块链和加密货币平台上发现了40多个漏洞。受影响的加密货币和区块链平台包括MyEtherWallet、Tendermint、Tezos、Monero、Brave和Coinbase等，但这些都非致命性漏洞。[2019/3/17]

动态 | 安全研究人员在Linux上发现加密货币挖矿恶意软件:据zdnet消息，Trend Micro安全研究人员发现了一种新的恶意软件，它在Linux计算机上开采加密货币，但它与其他发现的加密软件不同，因为它下载了一个rootkit来改变操作系统从而隐藏挖矿导致的高CPU使用。[2018/11/10]

国家信息技术安全研究中心主任俞克群：区块链的安全问题依然存在诸多的挑战:国家信息技术安全研究中心主任俞克群指出，对于隐私暴露、数据泄露、信息篡改、网络等问题，区块链的出现给人们带来了很多期望。但区块链的安全问题依然存在诸多的挑战。俞克群表示，目前区块链还处在初级阶段，存在着密码算法的安全性、协议安全性、使用安全性、系统安全性等诸多的挑战。风险不仅来自于外部有意的恶意攻击，也有可能来自区块链本身体系内生的原因。如何围绕着整个区块链的应用系统的设备、数据、应用、加密、认证以及权限等等方面构筑一个完整的安全应用体系，是各方必须要面临的重要问题。[2018/5/17]

标签：EDGEEDGDGELEDledger钱包Ledger PayDGE币ledger钱包无法同步

DOT热门资讯