2018-01-08 09:29

因为在Ebay买了一个二手Ledger,他失去了毕生积蓄

因为在eBay上买了一个二手的Ledger Nano硬件钱包,Reddit用户moodyrocket一辈子的积蓄都丢了。他损失的加密货币共计3.4万美元

wallet

这位网友在Reddit上发帖称,钱包卖方采用了中间人攻击的形式,预先在设备中写入了其自己设置的复原码,并没有使用Ledger公司提供的随机码。帖子中提到:
我已经一周没用Ledger了,所以我想看看钱包里瑞波、莱特币和达世价值多少了,结果我发现所有币的余额都为零,并且已经在昨天晚上七点半左右被转移到了其它地方。我不清楚这一切是怎么发生的,因为我已经一周没有用过Ledger了。我不知道怎么办,因为这些币的价值超过了2.5万镑,我的币是被偷了还是怎么样?我现在很迷茫,感觉很不舒服,希望大家帮帮我。
这件事证明攻击者甚至有办法进入用户的钱包。Ledger的CEO已经承诺为这位网友提供帮助,通过法律手段让卖方受到应有的惩罚。

1

(卖家伪造的助记词)

 

安全需求

 

这位来自英国的受害者的故事听起来似乎很遥远,但至少他的损失可以成为社区的收获。对于任何试图从第三方手中购买硬件钱包的人,我们都应进行提醒。不应该从拍卖网站、独立供应商和商户等与钱包制造商没有正式合作关系的机构或个人手中购买钱包。

大多数转卖Ledgers和Trezors等钱包的人并没有恶意篡改设备的目的。但中间经手的人一旦心存恶意就会更改钱包设置然后转手给毫无防备的买家。这位Ebay卖家就是这类人。

就算硬件设备本身的安全性得到了保障,使用这类设备的人永远是其中最薄弱的一环。即使是多强大的防盗科技也无法抵御人为错误。举个例子,假如moodyrocket重置了设备,重新创建了私钥,他就不会受到影响。然而,当他看到卖家发给他的虚假文件之后,他自然而然地就选择相信默认私钥是安全的。直接从制造商手中购买硬件钱包可能要花上很长的时间和更高的成本,但与其它选择相比反而更加值得。

本文链接:https://www.8btc.com/article/152481
转载请注明文章出处

评论(32)
登录 账号发表你的看法,还没有账号?立即免费 注册
我是大宇 2018-01-13
昌用:服你。那空白纸张上被卖家打印出了卖家的备注词
我是大宇 2018-01-13
梦想与现实2012思考中:是啊 所有评论就你说这纸上字母竟然是卖家打印拿来骗人的
我是大宇 2018-01-11
软件钱包也有可能弱密码。
我是大宇 2018-01-09
神马m3现货
我是大宇 2018-01-09
//@江卓尔_莱比特矿池: 硬件钱包并不安全,这次是卖家作恶,但如果是制造商作恶呢?制造商完全可以预埋漏洞,只生成弱私钥(随机范围很小的,可以被轻松穷举的私钥),即使你永不联网,他也可以穷举完弱私钥的随机空间,把你的币卷走,而硬件钱包又难以检查代码。
我是大宇 2018-01-08
lane2:看来你没看懂江总的话,有本质区别
我是大宇 2018-01-08
//@硅谷王川:比特币第一法则:不相信任何人。//@胡翌霖: 生产商在一手硬件钱包中埋后门更容易,也许生产商已经干了,只是要等他决定跑路时再收网。这不是危言耸听,因为犯罪成本和收益相比微不足道。我不信任任何硬件钱包,除非你亲自拼装的。
我是大宇 2018-01-08
自己搞门槛太高了@: 下载的软件通过检查哈希值即可保证安全,开源硬件,你来教教小白怎么检查开源固件?更不用说卖给你的,未必是通用芯片了,随便在随机数生成器里藏个漏洞,你看得出来?Blockchain.info工程师自己搞出随机数生成器漏洞,自己都看不出来,还是靠白帽黑客查出来的,你能看得出来?
我是大宇 2018-01-08
昌用:我强调使用硬钱包不是绝对安全,这种情况就是危险之一。做好硬钱包需要解决好这个问题。
我是大宇 2018-01-08
二手电脑离线,二手手机离线。都做不到一个虚拟机也行啊。玩币连这点小钱都省么。。
我是大宇 2018-01-08
//@BTC股票:坑太多了,防不胜防啊。
我是大宇 2018-01-08
lane2:用密语
我是大宇 2018-01-08
那软钱包怎么办//@硅谷王川:比特币第一法则:不相信任何人。//@胡翌霖: 生产商在一手硬件钱包中埋后门更容易,也许生产商已经干了,只是要等他决定跑路时再收网。这不是危言耸听,因为犯罪成本和收益相比微不足道。我不信任任何硬件钱包,除非你亲自拼装的。
我是大宇 2018-01-08
区块链安全是个大方向。rvt作为一个主攻区块链安全特别是移动端区块链安全的货币值得关注。
我是大宇 2018-01-08
Hi-Lew: 下载的软件通过检查哈希值即可保证安全,开源硬件,你来教教小白怎么检查开源固件?更不用说卖给你的,未必是通用芯片了,随便在随机数生成器里藏个漏洞,你看得出来?Blockchain.info工程师自己搞出随机数生成器漏洞,自己都看不出来,还是靠白帽黑客查出来的,你能看得出来?
我是大宇 2018-01-08
那比特派这种HD钱包安全吗,也是有个随机范围
我是大宇 2018-01-08
真是的,只记私钥就可以了,干嘛这么麻烦?又是助记词,又是硬件的。。。。用靠谱的钱包生成个私钥导出来记住就可以了,至于哪个钱包靠谱,自己选吧。其实也可以不用钱包,自己生成私钥的。
我是大宇 2018-01-08
这东西也随便买,太不小心了。
我是大宇 2018-01-08
谜样的月光:买一个硬件钱包,但不用硬件钱包生成的私钥,用比特币官网软件离线随机生成密钥再导入到硬件钱包,并删除软件,这样不联网的硬件钱包绝对安全了!
我是大宇 2018-01-08
这么重要的装置,买二手的也是无语了……
  • 1
  • 2
下载
阅读
分享
评论
32
点赞
上一篇
下一篇