仰賴虛擬貨幣硬體錢包Ledger保護虛擬貨幣安全的用戶要注意了,根據一份最新的研究報告,Ledger錢包的設計存在漏洞,駭客可能會透過讓裝置感染惡意病毒,取代用戶本來的錢包地址,誘使用戶將虛擬貨幣傳給駭客,即便目前尚未傳災情,Ledger也提醒用戶必須在交易時執行雙重認證,並提出解決方案。
產品設計缺陷,惡意病毒可能竄改錢包地址
上個月中,虛擬貨幣硬體錢包的新創公司Ledger,才宣布完成7500萬美元(約新台幣22億元)的B輪融資,當時執行長Eric Larcheveque更表示想成為「比特幣及區塊鏈的安全守護者。」
外型很像USB隨身碟的虛擬貨幣硬體錢包,內含安全晶片,可讓用戶在不連網的情況下安全儲存、攜帶私鑰,當用戶需要在電腦上交易虛擬貨幣時,必須輸入PIN碼才能存取私鑰,確保虛擬資產的安全性。
不過,根據一份公布在網路社群DocDroid的報告,Ledger坦承硬體錢包產品有漏洞,駭客可能會讓裝置感染惡意軟體,藉此輕易取代原本的錢包地址,誘使用戶將虛擬貨幣傳給攻擊者。
而這項漏洞讓所有的硬體錢包都可能受到影響,因為硬體錢包會不斷更新交易錢包地址,DocDroid報告指出,駭客有能力透過惡意軟體竄改錢包地址的完整性,以此騙過用戶在不知情的情況下,將虛擬貨幣轉給攻擊者。
Ledger在官方Twitter上發文提醒用戶,在交易時一定要點選交易畫面QR Code下方的「監視螢幕icon」,就會在電腦螢幕上顯示出錢包地址,用戶必須重複確認硬體錢包跟電腦上的錢包地址是相符的,才能執行交易。
目前僅比特幣錢包受影響,提醒用戶執行雙重認證
根據了解,目前受影響的是比特幣硬體錢包,以太幣、瑞波幣錢包不受這項漏洞影響。
Ledger表示,這項漏洞無法完全被根除,「惡意病毒可以隨時改變你在電腦螢幕上看到的一切,唯一的解決方案就是建立用戶的危機意識,半年前Ledger就在裝置上新增雙重認證功能。」
因此Ledger也提醒用戶,下次要使用硬體錢包進行虛擬貨幣交易時,必須再三確認地址相符性。根據Ledger最新說法,近期會在瀏覽器Chrome上新增比特幣錢包的新版軟體,讓用戶能更清楚比對硬體錢包與電腦上地址是否相符,並表示在未來會針對以太幣、瑞波幣錢包在全球推出軟體更新。
