安全研究人员披露 Ledger 签名安全漏洞，漏洞或导致用户资金被盗

中国区块链新闻网讯，安全研究人员 Monokh 撰文披露加密货币钱包 Ledger 硬件钱包存在的安全漏洞。Monokh 指出，该漏洞可能导致用户资金被盗。Ledger 会在除比特币之外的应用程序上公开比特币（主网）密钥和签名信息，会提供误导性的交易确认请求。以比特币和莱特币应用程序为例，漏洞攻击路径为：1. 打开莱特币应用程序；2. 获取比特币隔离见证地址；3. 根据地址查看 UTXOs；4. 发起比特币交易并发送给 Ledger 设备要求签名；5. 得到有效的已签名比特币交易信息。Ledger 本应在上述第二、第四步骤中识别错误并对其进行阻止，但仍然提示用户进行交易。所有固件版本和 App 版本均受到此漏洞影响。Monokh 建议 Ledger 在实时应用程序目录上禁用山寨币（Altcoin）应用程序，直至发布修补程序。根据漏洞披露进程表，2019 年 1 月份，Monokh 最初于 2019 年 1 月份向 Ledger 披露与隐私相关的安全漏洞，随后，Ledger 更新了固件但未对应用程序进行更新，并表示在更新应用程序后将立即公开漏洞。2019 年 4 月份，Monokh 再次联系 Ledger 要求更新应用程序，但未得到反馈。今年 5 月份，Monokh 将该漏洞的根本原因在签名功能方面，这可能会导致用户资金被盗。此后，Ledger 称正在调查该漏洞。之后 Monokh 多次联系 Ledger 并要求披露漏洞并对其进行修复，但未得到回应，Ledger 也没有修复或披露相关漏洞。