由SeadFadilpašić
一位研究人员报道了主要的加密硬件钱包制造商Ledger的设备中的一个漏洞,该漏洞可能导致比特币(BTC)丢失,他们声称该漏洞已经使公司意识到了几个月。 Ledger辩称他们已经解决了这一问题,同时不得不“在安全性和可用性之间做出选择”。
匿名研究人员莫诺克(Monokh)昨天在博客中写道:“莱杰(Ledger)硬件钱包存在一个漏洞,可能导致用户资金被盗。”在每个帖子中,攻击者可以利用此漏洞来转移BTC,同时用户认为正在转移山寨币(例如litecoin(LTC),比特币现金(BCH)等)。
“换句话说,解锁Litecoin应用后,您将收到有关比特币转移的确认请求,同时界面将其显示为将Litecoins转移到Litecoin地址。接受确认会产生完全有效的已签名比特币(mainnet)交易,莫诺克说。
该帖子还补充说,在其设备上使用比特币分叉的用户可能会受到影响,应避免使用这些应用程序,直到有可用的修补程序为止。
莫诺克补充说,莱杰被告知了这个问题。 “根据我从第一次披露(1月19日)以来的经验,我知道他们没有动力看到这个问题的完成,” Monokh说,并补充说Ledger甚至在此之前就意识到了这个问题。 “没有观察到进一步的进展,更新请求也没有得到回应。”
莱杰自己的报告并没有否认对这个潜在问题的了解。昨天,他们认为“对每种硬币类型都限制一条或多条路径实际上是一个艰难的话题,”因为:
一些第三方软件钱包使用了不正确的派生路径,这对于使用基于Electrum(LTC,狗狗币(DOGE),破折号(DASH)等)的第三方钱包的旧硬币而言尤其重要。
一些BTC分支使用与BTC相同的派生路径,如果阻止它们使用BTC派生路径,则将阻止用户将Ledger Nano S / X与这些分支一起使用。
Ledger说:“我们必须在安全性和可用性之间做出选择,希望避免用户资金被锁定并且用户无法再花钱的情况。因此,我们选择在比特币应用程序本身中强制设置路径锁定,”补充说,如果比特币衍生应用“尝试在不寻常的路径上进行衍生”,用户将收到警告。
但是,这似乎在社区中并不令人满意,其中许多人评论说Ledger承认存在风险,但出于可用性和硬币支持的目的而有意忽略了该问题。 “他们选择了可用性而不是安全性,” redditor Leader92评论。
隶属于Ledger的BTChip回答说:“我们不是说我们不是为了可用性而对其进行修复”,而是“我们选择了一种修复方法,不会将HD路径的实施置于操作系统级别(这是为不共享相同代码的应用程序完成)。”
用户,BTChip和Monokh之间的讨论在Reddit上继续进行。
同时,有人认为解决方案不是不使用Ledger,而是不使用“ shitcoins”。
有人会说“不买账本”。

我更喜欢另一种解决方案:停止使用狗屎币。

Shitcoins使此类漏洞成为可能。这是Shitcoin税,您必须为使用它而支付的无形税.https://t.co/OlAM446LLo
-尼古拉斯·多里尔(@NicolasDorier)2020年8月5日
这些报告是在Ledger最近的数据泄露之后发布的。该公司上周透露,它在6月17日受到数据泄露的打击,该数据泄露似乎已允许“第三方”访问其至少100万用户的联系信息。

本文由《中币(zb)研究院》翻译,www.zb.live/www.zb.com

App下载地址:www.zb.live/download/