比特幣守護者破功!虛擬錢包Ledger傳出漏洞,駭客可竄改錢包地址

2018.02.07 by
高敬原
Ledger
上個月中,才宣布完成B輪融資的虛擬貨幣硬體錢包新創Ledger,日前坦承錢包設計有漏洞,可讓駭客竄改錢包地址,誘使用戶將虛擬貨幣轉給攻擊者。即便目前尚未傳災情,對此Ledger也提出解決辦法。

仰賴虛擬貨幣硬體錢包Ledger保護虛擬貨幣安全的用戶要注意了,根據一份最新的研究報告,Ledger錢包的設計存在漏洞,駭客可能會透過讓裝置感染惡意病毒,取代用戶本來的錢包地址,誘使用戶將虛擬貨幣傳給駭客,即便目前尚未傳災情,Ledger也提醒用戶必須在交易時執行雙重認證,並提出解決方案。

產品設計缺陷,惡意病毒可能竄改錢包地址

上個月中,虛擬貨幣硬體錢包的新創公司Ledger,才宣布完成7500萬美元(約新台幣22億元)的B輪融資,當時執行長Eric Larcheveque更表示想成為「比特幣及區塊鏈的安全守護者。」

外型很像USB隨身碟的虛擬貨幣硬體錢包,內含安全晶片,可讓用戶在不連網的情況下安全儲存、攜帶私鑰,當用戶需要在電腦上交易虛擬貨幣時,必須輸入PIN碼才能存取私鑰,確保虛擬資產的安全性。

不過,根據一份公布在網路社群DocDroid的報告,Ledger坦承硬體錢包產品有漏洞,駭客可能會讓裝置感染惡意軟體,藉此輕易取代原本的錢包地址,誘使用戶將虛擬貨幣傳給攻擊者。

而這項漏洞讓所有的硬體錢包都可能受到影響,因為硬體錢包會不斷更新交易錢包地址,DocDroid報告指出,駭客有能力透過惡意軟體竄改錢包地址的完整性,以此騙過用戶在不知情的情況下,將虛擬貨幣轉給攻擊者。

交易時一定要點選交易畫面QR Code下方的「監視螢幕icon」,完成錢包地址雙重確認。
Twitter

Ledger在官方Twitter上發文提醒用戶,在交易時一定要點選交易畫面QR Code下方的「監視螢幕icon」,就會在電腦螢幕上顯示出錢包地址,用戶必須重複確認硬體錢包跟電腦上的錢包地址是相符的,才能執行交易。

目前僅比特幣錢包受影響,提醒用戶執行雙重認證

根據了解,目前受影響的是比特幣硬體錢包,以太幣、瑞波幣錢包不受這項漏洞影響。

Ledger表示,這項漏洞無法完全被根除,「惡意病毒可以隨時改變你在電腦螢幕上看到的一切,唯一的解決方案就是建立用戶的危機意識,半年前Ledger就在裝置上新增雙重認證功能。」

再三確認電腦螢幕上的錢包地址跟硬體錢包上顯示的是相符的,才是防範駭客的最佳方法。
Twitter

因此Ledger也提醒用戶,下次要使用硬體錢包進行虛擬貨幣交易時,必須再三確認地址相符性。根據Ledger最新說法,近期會在瀏覽器Chrome上新增比特幣錢包的新版軟體,讓用戶能更清楚比對硬體錢包與電腦上地址是否相符,並表示在未來會針對以太幣、瑞波幣錢包在全球推出軟體更新。

資料來源:LedgerHQThe Next WebTweakTown

延伸閱讀

每日精選科技圈重要消息

本網站內容未經允許,不得轉載。 若有文章授權需求請填寫 申請表單