漏洞允许从Ledger钱包中窃取比特币，该公司知道

加密货币研究员Monokh本周谴责Ledger有一个漏洞，该漏洞允许盗窃比特币，该公司宁愿不予修复。 该漏洞与使用中本聪（Satoshi Nakamoto）的加密货币中的至少16个分叉币以及在比特币测试网络上运行的应用程序有关。

Monokh在他的个人博客中描述，当用户以较低价值的加密货币执行交易时，比特币可能会从Ledger钱包中被盗。 使用内置在设备中的比特币叉（例如Litecoin和Dash），这是可能的。

Ledger是一个硬件钱包，可让您管理不同加密货币的密钥和地址。 为了保护用户资金，开发人员团队必须想出一种设备，其中每个货币应用程序都相互隔离。 也就是说，您可以访问以太坊，比特币和莱特币的地址，但是当其中一个打开时，其他地址将被自动阻止。

通过这种方式，用户可以在不暴露其他钱包的情况下导出其密钥，签署并确认其当前正在使用的加密货币交易。 但是，就比特币而言，碰巧公钥及其签名功能都从山寨币应用程序中暴露出来，这使得攻击者有可能窃取BTC资金，而该BTC资金具有与用户在交易中使用的相同签名。山寨币。

这是由于Ledger设备的设计方式所致，其中所有基于比特币的加密货币共享相同的路径来获取其密钥。 因此，可以在设备内执行欺骗性交易和确认，而无需用户意识到。

Monokh解释说，当在这些山寨币或比特币测试网中进行交易时，用户将打开整个比特币路线，而不仅是专用于比特币现金，莱特币或测试网络的路线。 由于此交易与比特币交易的方式相同，因此您可以轻松地签署比特币交易，就好像它是莱特币和比特币现金交易一样。

换句话说，当同时在比特币的主链中批准交易时，分类帐钱包可以通知莱特币交易正在签名。

研究人员进行了两项测试以检查钱包中漏洞的范围，一种使用莱特币，另一种使用比特币测试币。 在这两次尝试中，他设法将正常的山寨币交易变成了盗窃比特币。 Monokh说，Ledger的设备在收到通知时没有发出任何警告，更不用说阻止了该操作。

Monokh指出，所有Ledger固件版本在其系统上均存在此错误。 他还指出，该应用程序绝不会抛出任何错误或通知，表明正在进行欺骗性操作。 从这个意义上讲，研究人员认为恶意用户可以利用此漏洞窃取加密货币。

例如，恶意的比特币测试网产品可能会诱使用户将“测试比特币”转移到某个地址，而实际上却要清空真正的比特币资金。 同样，不可靠的交易所可以检测到此错误，并利用接受山寨币进行交易的优势。 这在允许与钱包直接交互的交换服务中尤其危险。

Ledger：“我们必须在安全性和可用性之间做出选择”

关于此发现，最惊人的事情不是漏洞，而是Ledger的团队自去年1月以来就意识到了这一漏洞，因此决定不采取任何措施。 Monokh向董事会报告说，他们的应用程序不是孤立的，但是他们似乎对解决该问题不感兴趣。

莫诺克将莱杰的态度描述为“过失”。 他还表示，如果“不是网络安全专家的人”可以注意到此漏洞的影响，那么黑客和恶意第三方肯定也可以意识到此错误并寻找利用该错误的方法。 博客的结论是：

对于这种严重性的问题，没有尝试寻找解决方案，没有交流进度并避免披露信息，就是缺乏对人们（包括我自己）对他们的信任的尊重。 随着您更多地关注其他部门（集成替代货币，交易），我敦促您重新考虑对安全的关注。

莫诺克。

莱杰（Ledger）回应了调查人员的投诉，于昨日下午发布了一份有关所暴露漏洞的官方声明。 团队确认了钱包设计中存在此错误，从而确保他们将解决问题。

但是，Ledger的提议不是漏洞修复，而是一个补丁，可以防止该漏洞被忽略。 钱包的下一个版本将在集成到设备中的比特币应用程序中具有路由锁定。 这样，当用户将要进行可能误导的山寨币交易时，将出现警告，通知该操作。

该公司还澄清说，在操作系统中没有消除错误的限制，因为这种行动将限制钱包的可用性，并可能冻结受影响的加密货币的资金。 莱杰在正式声明中说：“我们必须在安全性和可用性之间做出选择，以免出现用户资金被封锁而用户无法再花钱的情况。”

该决定可能暗示该公司可能在一年前尚未解决该问题，因为该公司将钱包的可用性放在首位，而不是安全性。 硬件钱包市场出人意料的动作，以其安全性和隐私性而著称。

这并不是Ledger近几周来首次遭遇丑闻，因为7月下旬该公司还遭受了100万用户的数据泄露。 Ledger的营销部门数据库被黑客入侵，导致其客户的个人信息泄漏。 由于侵犯了Ledger用户的隐私，此案在加密货币社区也引起了争议。

—-

原文链接：https://www.criptonoticias.com/seguridad-bitcoin/vulnerabilidad-permite-robar-bitcoins-monederos-ledger-empresa-sabia/

原文作者：globalcryptopress

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。