1. 链一财经首页
  2. 资讯

15岁的安全研究员公开Ledger钱包漏洞

硬件钱包制造商Ledger发布了一个升级固件,以修补几个安全漏洞。这些漏洞是由三名白帽安全研究员各自发现的,其中一位名叫Saleem Rashid的英国男孩,年仅15岁。他发现的攻击向量是硬件上的,并不局限于 Ledger设备,因此很难单独通过软件来解决。
Ledger和发现漏洞的研究员针锋相对
3月20日,Ledger发布了升级后的固件版本1.4.1,同时发布了一篇博客文章,承诺会“深入研究安全修复程序”。文章的开篇谈到:“在执行透明和有责任的信息披露流程之后,我们对已经修复攻击向量的固件1.4补丁进行了全面详细的评估,这些攻击向量最初由三名研究员报告的。由于公布技术细节可能会提高没有打补丁设备的威胁级别,我们强烈建议客户升级固件。”

这个由Saleem Rashid发现的漏洞引起了最广泛的关注,不仅是由于他的年龄,还在于他今日发表的一份他如何实现这项壮举的详细说明。“攻击者可以在用户收到设备之前进行入侵,或用物理手段直接从设备上窃取私钥,或者在某些场景中远程窃取。”Rashid解释道。“我已经演示了如何对真实的Ledger Nano S进行攻击。而且,我在几个月前就把源代码发给了Ledger,这样他们就可以模拟攻击。”他还对一个安全博客网站说:“(Ledger)很容易打开,甚至用你的指甲盖就能撬开它,然后进行篡改。”

5岁的安全研究员公开Ledger钱包漏洞"

白帽黑客放弃赏金
Ledger表示公司会要求安全研究员会签署一份赏金奖励协议作为他们获取报酬的条件之一,并指出并不会阻止研究人员发表他们自己的报告。根据文章的措辞,这三位研究者似乎都很乐意遵守这份协议,但是事实并不完全是这样。实际上,Rashid放弃了赏金,他解释说:
我没有拿LEDGER的赏金,因为他们信息披露保密协议不允许我发表这份技术报告。而我最终的选择是发表报告,放弃奖金,主要原因是LEDGER的CEO ERIC LARCHEVEQUE在REDDIT上发表的一些评论存在技术上的错误。因此,我担心他们不会向客户解释清楚。
这位十五岁的研究人员认为,Ledger试图淡化他所发现漏洞的严重性。他发布了一份全面和诚恳的报告,说明了他如何破解Ledger钱包,以及放弃奖励的过程,但这并未影响他的声誉以及他在推特上的粉丝数量。Saleem Rashid的聪明才智超越了他的年龄,他关于漏洞的这篇文章虽然很长,但对感兴趣的人来说还是很吸引人的。
你的加密货币硬件钱包是安全的
有一件可能会被忽略的事就是Ledger钱包目前的状况。密码学老师Matthew Green就Rashid的博文发表了一篇长文,探讨了完全阻止硬件攻击的难度。在结尾时,他安慰道:“这篇文章所述的内容并不意味你要被这些漏洞吓坏,或者说其他的钱包更安全。只是需采取安全措施而已。“Ledger用户应该更新最新的固件,但没有理由惊慌。从Saleem Rashid演示的攻击可以看出,要创建一个对所有已知攻击免疫的设备有多困难。

根据国家《关于防范代币发行融资风险的公告》,大家应警惕代币发行融资与交易的风险隐患。

本文来自LIANYI转载,不代表链一财经立场,转载请联系原作者。

发表评论

登录后才能评论

联系我们

微信:kkyves

邮件:kefu@lianyi.com

时间:7x24,节假日bu休息

QR code