安全研究人員披露 Ledger 簽名安全漏洞，漏洞或導致用戶資金被盜_EDG:GER

鏈聞消息，安全研究人員Monokh撰文披露加密貨幣錢包Ledger硬件錢包存在的安全漏洞。Monokh指出，該漏洞可能導致用戶資金被盜。Ledger會在除比特幣之外的應用程序上公開比特幣密鑰和簽名信息，會提供誤導性的交易確認請求。以比特幣和萊特幣應用程序為例，漏洞攻擊路徑為：1.打開萊特幣應用程序；2.獲取比特幣隔離見證地址；3.根據地址查看UTXOs；4.發起比特幣交易并發送給Ledger設備要求簽名；5.得到有效的已簽名比特幣交易信息。Ledger本應在上述第二、第四步驟中識別錯誤并對其進行阻止，但仍然提示用戶進行交易。所有固件版本和App版本均受到此漏洞影響。Monokh建議Ledger在實時應用程序目錄上禁用山寨幣應用程序，直至發布修補程序。根據漏洞披露進程表，2019年1月份，Monokh最初于2019年1月份向Ledger披露與隱私相關的安全漏洞，隨后，Ledger更新了固件但未對應用程序進行更新，并表示在更新應用程序后將立即公開漏洞。2019年4月份，Monokh再次聯系Ledger要求更新應用程序，但未得到反饋。今年5月份，Monokh將該漏洞的根本原因在簽名功能方面，這可能會導致用戶資金被盜。此后，Ledger稱正在調查該漏洞。之后Monokh多次聯系Ledger并要求披露漏洞并對其進行修復，但未得到回應，Ledger也沒有修復或披露相關漏洞。

Yearn向安全研究員xyzaudits發放20萬美元獎金以獎勵其披露安全漏洞:yearn.finance （YFI）核心開發者banteg發推稱，Yearn已向安全研究員xyzaudits發布了20萬美元的獎金。杠桿式COMP耕作策略中的漏洞已得到修復，沒有資金損失。據悉，安全研究員xyzaudits通過Yearn的安全流程披露了GenLevComp策略類型中的一個攻擊向量。Yearn的yvDAI金庫附加了兩個可能受影響的GenLevComp策略，如果成功利用，攻擊者將能夠清算受影響策略在Compound上的全部債務頭寸，并有可能獲得清算費用。[2021/7/1 0:19:53]

聲音 | BiMoney任鋒：硬件錢包應著重于安全研發 而非重復開發手機已有功能:BiMoney首席生態官任鋒表示，硬件錢包廠商應把更多的資金和精力投入到錢包的安全研發上，而不是手機已有的屏幕顯示和掃碼攝像頭功能的二次開發上。因此，BiMoney硬件錢包的選擇研發思路是：讓手機錢包與硬件錢包資產管理的一體化方案相結合，用手機硬件解決掃碼和交易信息展示需求，將更多研發費用與精力投入到硬件錢包的安全研發上，讓BiMoney硬件錢包帶給用戶更安全的使用體驗。[2018/9/25]

動態 | Cryptic Labs增加2名諾貝爾獎獲得者作為區塊鏈安全研究的顧問:據coinjournal消息，致力于利用區塊鏈技術解決安全問題的研究機構Cryptic Labs近日宣布有兩位諾貝爾經濟學獎獲得者Eric Maskin和Christopher Pissarides已加入其經濟顧問委員會，將提供博弈論和象征經濟學的見解，支持該研究所解決這兩個領域缺乏區塊鏈行業專業知識的使命。[2018/9/11]

Tags：EDGEDGELEDGERledger錢包查真偽ledger錢包官網打不開Energy LedgerFingerprintsDAO

中幣