“分类帐钱包使用主机上运行的JavaScript代码生成显示的接收地址。这意味着恶意软件可以简单地用自己的地址替换负责生成接收地址的代码,从而将所有将来的存款发送给攻击者。
由于收款地址一直是钱包常规活动的一部分,因此不断变化,因此用户没有简单的方法(例如识别其地址)来验证收款地址的完整性。
据他所知,显示的收信地址就是他的实际收信地址”
虽然目前还没有关于使用该方法的报告,但研究中提供了概念证明,导致 Ledger 同意调查结果,并通过以下方式发布以下声明 Twitter:
重要的是要注意-这不能被视为Ledger中的“安全漏洞”,而是将Ledger插入受恶意软件感染的计算机的风险。为了减轻男子在这里报告的中间攻击媒介 https://t.co/GFFVUOmlkk (影响所有硬件钱包供应商),请始终通过点击“监视器按钮”在设备屏幕上验证您的收信地址 PIC。twitter.com/EMjZJu2NDh-分类帐(@LedgerHQ) 2018 年 2 月 3 日
Ledger在1年售出了超过2017万个硬件钱包,目前是最受欢迎的硬件加密货币存储设备。
作者: 罗斯·戴维斯
旧金山新闻台
没有评论
发表评论