安全研究人員披露 Ledger 簽名安全漏洞，漏洞或導致用戶資金被盜_LED

鏈聞消息，安全研究人員Monokh撰文披露加密貨幣錢包Ledger硬件錢包存在的安全漏洞。Monokh指出，該漏洞可能導致用戶資金被盜。Ledger會在除比特幣之外的應用程序上公開比特幣密鑰和簽名信息，會提供誤導性的交易確認請求。以比特幣和萊特幣應用程序為例，漏洞攻擊路徑為：1.打開萊特幣應用程序；2.獲取比特幣隔離見證地址；3.根據地址查看UTXOs；4.發起比特幣交易并發送給Ledger設備要求簽名；5.得到有效的已簽名比特幣交易信息。Ledger本應在上述第二、第四步驟中識別錯誤并對其進行阻止，但仍然提示用戶進行交易。所有固件版本和App版本均受到此漏洞影響。Monokh建議Ledger在實時應用程序目錄上禁用山寨幣應用程序，直至發布修補程序。根據漏洞披露進程表，2019年1月份，Monokh最初于2019年1月份向Ledger披露與隱私相關的安全漏洞，隨后，Ledger更新了固件但未對應用程序進行更新，并表示在更新應用程序后將立即公開漏洞。2019年4月份，Monokh再次聯系Ledger要求更新應用程序，但未得到反饋。今年5月份，Monokh將該漏洞的根本原因在簽名功能方面，這可能會導致用戶資金被盜。此后，Ledger稱正在調查該漏洞。之后Monokh多次聯系Ledger并要求披露漏洞并對其進行修復，但未得到回應，Ledger也沒有修復或披露相關漏洞。

ForTube 披露兩周前由安全研究人員發現的漏洞，未造成實際損失:2月22日消息，獨立安全研究員 samczsun 披露了一個兩周前在去中心化借貸協議 ForTube 中發現的安全漏洞，在 Tina Zhen 的幫助下，他從 ForTube 的漏洞中拯救了超過 1300 萬美元的用戶資產，避免了被攻擊者盜取。ForTube 團隊稱對合約資產和審計數據進行全面檢查后，沒有用戶因漏洞而造成損失，后續將對智能合約代碼進行嚴格全面的檢查，防止此類漏洞再次發生。[2021/2/22 17:40:10]

聲音 | 安全研究員：新型惡意軟件Oski Stealer正瞄準加密貨幣錢包應用程序:安全研究員Aditya K Sood在與SecurityWeek分享的一份報告中稱，一種新的惡意軟件Oski Stealer正瞄準互聯網瀏覽器和加密貨幣錢包應用程序，其中大多數受害者在美國。據悉，Oski Stealer的目標為收集敏感信息，如身份證件、信用卡號碼、錢包賬戶等，目前已經成功竊取了超過5萬個密碼。（SecurityWeek）[2020/1/14]

動態 | 安全研究人員30天內在13個區塊鏈公司發現43個漏洞:據thenextweb報道，根據提交給漏洞披露平臺Hacker One的漏洞報告，在2月13日至3月13日期間，白帽黑客在處理加密貨幣和區塊鏈技術的13家公司發現了43個漏洞。受影響平臺的列表中包括Coinbase、EOS發行商Block.one、Tezos、Brave和Monero。[2019/3/15]

Tags：LEDEDGEDGEEDG海關禁止ledger錢包pledge幣最新消息pledge幣釋放時間ledger錢包官網打不開

BNB價格