2018年2月8日 星期四

T客邦 比特幣守護者破功!虛擬錢包Ledger傳出漏洞,駭客可竄改錢包地址 百家樂 http://www.iwin9418.com

6f511299c2f094b2a9c928f377a71cba仰賴虛擬貨幣硬體錢包 Ledger 保護虛擬貨幣安全的用戶要注意了,根據一份最新的研究報告,Ledger 錢包的設計存在漏洞,駭客可能會透過讓裝置感染惡意病毒,取代用戶本來的錢包地址,誘使用戶將虛擬貨幣傳給駭客,即便目前尚未傳災情,Ledger 也提醒用戶必須在交易時執行雙重認證,並提出解決方案。

產品設計缺陷,惡意病毒可能竄改錢包地址

上個月中,虛擬貨幣硬體錢包的新創公司 Ledger,才宣布完成7500萬美元(約新台幣22億元)的B輪融資,當時執行長 Eric Larcheveque 更表示想成為「比特幣及區塊鏈的安全守護者。」

外型很像USB隨身碟的虛擬貨幣硬體錢包,內含安全晶片,可讓用戶在不連網的情況下安全儲存、攜帶私鑰,當用戶需要在電腦上交易虛擬貨幣時,必須輸入 PIN 碼才能存取私鑰,確保虛擬資產的安全性。

不過,根據一份公布在網路社群 DocDroid 的報告,Ledger 坦承硬體錢包產品有漏洞,駭客可能會讓裝置感染惡意軟體,藉此輕易取代原本的錢包地址,誘使用戶將虛擬貨幣傳給攻擊者。

Ledger 的漏洞主要來自錢包本身的設計缺陷,因為硬體錢包會不斷更新交易錢包地址,DocDroid 報告指出,駭客有能力透過惡意軟體竄改錢包地址的完整性,以此騙過用戶在不知情的情況下,將虛擬貨幣轉給攻擊者。

image▲交易時一定要點選交易畫面 QR Code 下方的「監視螢幕icon」,完成錢包地址雙重確認。 圖片來源:Twitter

Ledger 在官方 Twitter 上發文提醒用戶,在交易時一定要點選交易畫面 QR Code 下方的「監視螢幕icon」,就會在電腦螢幕上顯示出錢包地址,用戶必須重複確認硬體錢包跟電腦上的錢包地址是相符的,才能執行交易。

目前僅比特幣錢包受影響,提醒用戶執行雙重認證

根據了解,目前受影響的是比特幣硬體錢包,以太幣、瑞波幣錢包不受這項漏洞影響。

Ledger 表示,這項漏洞無法完全被根除,「惡意病毒可以隨時改變你在電腦螢幕上看到的一切,唯一的解決方案就是建立用戶的危機意識,半年前 Ledger 就在裝置上新增雙重認證功能。」

image▲再三確認電腦螢幕上的錢包地址跟硬體錢包上顯示的是相符的,才是防範駭客的最佳方法。 圖片來源:Twitter

因此 Ledger 也提醒用戶,下次要使用硬體錢包進行虛擬貨幣交易時,必須再三確認地址相符性。根據 Ledger 最新說法,近期會在瀏覽器 Chrome 上新增比特幣錢包的新版軟體,讓用戶能更清楚比對硬體錢包與電腦上地址是否相符,並表示在未來會針對以太幣、瑞波幣錢包在全球推出軟體更新。

資料來源:LedgerHQThe Next WebTweakTown



from T客邦 http://ift.tt/2sk3ZPm




沒有留言:

張貼留言