[新闻] Ledger 冷钱包爆漏洞！无法识别比特币及 joug PTT批踢踢实业坊

[新闻] Ledger 冷钱包爆漏洞！无法识别比特币及

楼主: joug (好东西不签吗) 2020-08-07 17:14:27

Ledger 冷钱包爆漏洞！无法识别比特币及分叉链，恐致用户在不知情下转出 BTC
近期，有网友 monokh 写了一篇完整文章，揭露硬件钱包公司 Ledger 的应用程式存在着十
分严重的安全问题：它无法将授权交易的 APP 隔离处理不同币种，意即当用户以为其正
在交易如比特币现金（BCH）、莱特币（LTC）等币值较低的币种时，实际上很有可能是在
不知情的情况下交易了比特币（BTC）。
Ledger 钱包的漏洞
出于安全考量，许多用户会将加密货币储存在冷钱包中。
Ledger 冷钱包的重要功能之一是隔离不同币种间的交易，你一次只能在一个设备上解锁
一个应用程式以交易特定币种；解锁后的资产将会与外部连结，能够导出公钥、产生数位
签章、确认交易。因此，若 Ledger 要达成“安全”的目标，第一条件即是“没有被解锁
的应用程式无法与外界连结”。
而近期网友 monokh 发现，Ledger 无法识别比特币主网以及其分叉，也就是说若你解锁
了 BCH 的应用程式，则比特币（BTC）、BCH 等的应用程式皆能与外部连结、进行交易。
而今天假设你要传送 BCH，将会经过以下步骤：
解锁 BCH 的应用程式
找到比特币的 segwit 地址
查询 UTXO 并建立比特币交易
发送提示到设备以签署此交易
接收在比特币主网上有效的数位签章
你以为你在交易 BCH，实际上你交易了 BTC。Ledger 应于第二步就发现错误并阻止接下
来的执行，但功能缺失让其不断在设备上提示用户他是在交易 BCH。
monokh 表示，若未能及时修复此漏洞，将可能导致严重的后果，任何人都可利用用户对
Ledger 钱包的信任进行攻击，用户可能会被欺骗交易比特币、将币种数量泄漏等。
而他也从 5 月开始不断地向 Ledger 告知此漏洞，但 Ledger 尚未修正。尽管 Ledger
已经承认了问题的存在，但他们仅在现有的应用程式更新版中加入提示，若用户面临到此
类状况，将会跳出提醒。
Reddit 社群反应
8 月 4 日，有网友在 reddit 上转贴 monokh 的文章皆露此事，引起网友广泛讨论。其
中不乏本来就对 Ledger 安全性不甚满意的网友，而 Ledger 官方的缓慢回应也使网友观
感不佳。
很棒的发现，而这已经是第二次通过被破坏的控制设备存在的硬币窃取漏洞，我想是时候
该扔掉我的分类帐并转移到其他地方了
Ledger 的态度不令我意外，过去报告安全漏洞时，我持相同的态度和回应。
在我公开披露后，他们才开始认真对待它。
Ledger 的回应
在 monokh 的文章贴出后，Ledger 沉寂几天终于做出回应。表示修复漏洞所花费的时间
大于预期，导致在还未修复完成时 monokh 就在网络上揭露了此事。
针对为什么仅显示仅告而非阻止此类交易，Ledger 给出了以下回应：
如果这些交易被阻止，这将锁定我们许多用户的资金。这是由早期比特币分叉的结构引起
的整个行业的问题。
国外网友对 Ledger 的回应并不领情，看来 Ledger 的安全团队真的需有好好投入成本、
修正漏洞的决心，才有办法从日益竞争的冷钱包市场中挽回用户的心。
https://www.blocktempo.com/ledger-wallet-vulnerability/
Ledger冷钱包漏洞专家怎么看

作者: DarkerDuck (é”å…‹é´¨) 2020-08-07 18:14:00

Ledger对于BTC分叉币支援本来就很差到现在都还是不支援cashaddress，完全无心经营我硬件钱包基本上只放大笔的ETHBCH我宁可小额放独立手机钱包大额则是用VM产生私钥seed后，摧毁VM再离线保存

作者: illidan9999 (DH) 2020-08-07 21:36:00

达克鸭怎么不用coolwallet或Trezor呢？

作者: DarkerDuck (é”å…‹é´¨) 2020-08-07 21:46:00

Trezor和Coolwallet我也都有，可以拿来放中金额资金比Ledger也用心多了，有支援CashaddressTrezor也有直接支援Electron Cash只不过我拿的Trezor型号太旧了，韧体升不上去之后再买个新型号的Trezor One大额资金不常动，没放在硬件钱包也没差可以每一百BCH就创建一个出来，把私钥密语放好地址放在自己常见的地方，要丢钱进去也很方便真的有需要的时候再汇入硬件钱包，多层次管理我自己是不喜欢把所有钱就丢到一个硬件钱包每一百BCH就分一个出来，可以确保最大风险就是100BCH像是之前就有硬件钱包出包，转XMR转到整个钱包钱不见https://tinyurl.com/y5eb4a5w

作者: TarokoSam (太鲁阁天空) 2020-08-07 22:13:00

板大有用HTC Exodus吗？

作者: a23962787 (ä¸æ“²éª°åçš„è²“) 2020-08-07 22:15:00

ledger可以用Electron Cash吧

作者: DarkerDuck (é”å…‹é´¨) 2020-08-07 22:20:00

HTC Exodus没在玩ledger和Trezor都有支援Electron Cash

作者: TellthEtRee (开出头奖) 2020-08-07 23:04:00

Exdous有内建隔离见证，可以推一下

作者: qxxrbull (XPEC) 2020-08-08 02:33:00

HTC Exodus支援XMR了吗我去年9月卖掉前他XMR和BCH cashaddr都还不支援

作者: leftc (é˜¿å·¦) 2020-08-08 08:05:00

欸版大说的XMR转到不见就是我哈哈受害者是我跟另一位大户不过其实没有真的不见啦，只是没有办法扫描正确余额ledger的monero app dev跟我们连络后其实蛮快就解决了

作者: john371911 (é†¬å»–) 2020-08-08 08:15:00

一百bch...真是大户。

作者: DarkerDuck (é”å…‹é´¨) 2020-08-08 22:09:00

那是举例而已，反正就是一个需要冷储存的基本单位也可以是1 BTC, 10 ETH@leftc，是啊，之前就是你提出整个经过的就算是硬件钱包也是会出包的，鸡蛋还是不要都放同篮子

继续阅读

[闲聊] 那些即将在美国股票市场上市的加密币业者ECZEMA [Coin] 币安钱包会多出一些极微小币?wpd Re: [闲聊] 有可能两个钱包重复吗？wtl [交易] 火币网交易所Bruce003 Re: [新闻] Crypto.com 将以 CRO 取代 MCO 代币UK5566 [闲聊] 新手台币入金疑问irene210181 [闲聊] 有可能两个钱包重复吗？pshadow1 [新闻] 看好比特币前景！美议员：疫情过后将变得joug Re: [新闻] Crypto.com 将以 CRO 取代 MCO 代币qxxrbull Re: [新闻] Crypto.com 将以 CRO 取代 MCO 代币entanglelove