APP下载

自称15岁的英国骇客破解了Ledger的加密货币硬件钱包

消息来源:baojiabao.com 作者: 发布时间:2024-03-29

报价宝综合消息自称15岁的英国骇客破解了Ledger的加密货币硬件钱包
图片来源: 

Saleem Rashid

一名自称现年只有15岁的英国骇客Saleem Rashid在本周二(3/20)揭露了知名硬件加密货币钱包Ledger的安全漏洞,并以影片展示如何窜改Ledger Nano S的备份种子(Recovery Seed),Ledger同一天即表示已于两周前释出的固件更新修补了该漏洞,也曝露了Rashid与Ledger之间的不合。

加密货币的安全性是由公钥与私钥来把关,但用户很容易不小心遗失或外泄自己的私钥,于是就有硬件钱包的诞生,以安全保存使用者的私钥。Ledger所打造的Ledger Nano S即是一个支援比特币、以太币与Altcoins等加密货币的硬件钱包,可保障加密货币资产与交易的安全性,定价为79欧元(约2,880元新台币)。

Rashid所发现的安全漏洞允许他在Ledger Nano S尚未出货前就窜改装置的备份种子,由于所有的私钥都来自备份种子,代表骇客之后可窃取所有存放至该装置的加密货币,且是属于供应链端的攻击。

Ledger则说,Rashid所揭露的漏洞必须在装置未产生备份种子时就展开攻击,以骇客自己的备份种子取代自动产生的备份种子,倘若使用者是自合法经销商购得Ledger Nano S,并不容易遇到上述攻击,若是买到二手Ledger Nano S,只要更新固件就能解决,不论如何,目前并未发现实际的攻击案例。

此外,Ledger在两周前释出的Ledger Nano S固件更新其实修补了来自3个不同安全人员所提交的漏洞,当中的两个安全人员都获得了Ledger的抓漏奖金,只有Rashid拒绝收受。

Rashid表示,这是因为Ledger首席执行官Eric Larchevêque在Reddit上所描述的技术细节并不正确,他担心对方无法妥善解释,再加上Ledger的责任揭露协议却又要求他不得公布技术细节,于是他只好选择拒绝。

其实Rashid去年11月就将漏洞资讯及攻击程式码提交给Ledger,只是双方之间的沟通并不愉快。Rashid拒绝提供更多的个人资讯,仅说他住在英国,是个自学的程序员。

2018-03-22 18:31:00

相关文章