8BTCCI: 11711.16 +1.72% 8BTCVI: 5406.16 +2.18% 24H成交额: ¥3235.73亿 -30.47% 总市值: ¥16456.21亿 +1.28%
Ledger最新观点:钱包确实存在漏洞,这不是什么大问题

Ledger最新观点:钱包确实存在漏洞,这不是什么大问题

Lissa 发布在 链圈子 12263

Ledger在12月28日的一篇官方媒体博客文章中称,最近发现的硬件钱包存在漏洞,但是这些漏洞不是什么大问题。

近日,在柏林举行的35C3Refreshing Memories大会上,研究人员在会议上展示了他们如何能够攻击Trezor One,Ledger Nano S和Ledger Blue硬件钱包。12月27日的视频中发布了黑客的演示。

cyber-security-1923446_1280

研究人员声称他们能够破解Trezor One、Ledger Nano S和Ledger Blue加密货币钱包

Ledger在帖子中解释说,似乎有“三条攻击路径,这可能给人一种关键漏洞已被发现的印象”,但他们明确表示,“事实并非如此”。Ledger表示,该漏洞并不重要,原因是“他们没有成功提取出被盗设备上的任何种子或PIN码”,而且“存储在安全元素上的敏感资产仍是安全的。”

据该研究人员解释,分类帐Nano的漏洞“证明了从本体上修改分类帐Nano并在受害者的电脑上安装恶意软件可以让附近的攻击者在密码获取输入比特币(BTC)应用启动后的密码并签署交易”。

Ledger声称,这是“非常不切实际的,一个有动机的黑客肯定会使用更有效的技巧。”尽管研究人员声称,该漏洞允许他们“向ST31(安全芯片)发送恶意交易,甚至亲自确认交易”,但ledger对此予以否认并认为:

他们的固件在单片机上以引导加载模式运行snake。这意味着你必须在引导时择机按左键,而安全元素甚至不能引导。
Ledger还声称,研究人员的攻击的演示“有点不切实际和天花乱坠”,因为他们声称“接收器和被攻击设备的位置必须完全相同,USB电缆的位置也至关重要(因为它充当天线)。”研究人员还提出了,“如果条件不完全一样,机器学习分类器就不能正常工作。”因此,ledger总结道:
“这种攻击确实很有趣,但它不允许在真实情况下猜测某人的PIN(这要求你永远不要移动你的设备)。”
此外,由于这个漏洞,Ledger表示,下一个蓝色Ledger固件更新将为提供随机pin键盘。

该公司还表示,他们“很遗憾,研究人员没有遵循ledger奖金计划中列出的标准安全原则。”在安全领域,通常的做法是对披露信息进一步负责。这是一种模型,漏洞只有在一段合理的时间后才会被披露,在这期间允许漏洞得到修补,并减轻用户的风险。

在去年11月,Ledger宣布将业务扩展至纽约,以发展提供ledger保险库的机构托管业务。此外,该公司最近还与加密支付初创公司Crypto.com签署了一项协议,允许用户使用加密货币为他们的产品付费。

评论
登录 账号发表你的看法,还没有账号?立即免费 注册