安全研究人員披露 Ledger 簽名安全漏洞，漏洞或導致用戶資金被盜_EDGE

鏈聞消息，安全研究人員Monokh撰文披露加密貨幣錢包Ledger硬件錢包存在的安全漏洞。Monokh指出，該漏洞可能導致用戶資金被盜。Ledger會在除比特幣之外的應用程序上公開比特幣密鑰和簽名信息，會提供誤導性的交易確認請求。以比特幣和萊特幣應用程序為例，漏洞攻擊路徑為：1.打開萊特幣應用程序；2.獲取比特幣隔離見證地址；3.根據地址查看UTXOs；4.發起比特幣交易并發送給Ledger設備要求簽名；5.得到有效的已簽名比特幣交易信息。Ledger本應在上述第二、第四步驟中識別錯誤并對其進行阻止，但仍然提示用戶進行交易。所有固件版本和App版本均受到此漏洞影響。Monokh建議Ledger在實時應用程序目錄上禁用山寨幣應用程序，直至發布修補程序。根據漏洞披露進程表，2019年1月份，Monokh最初于2019年1月份向Ledger披露與隱私相關的安全漏洞，隨后，Ledger更新了固件但未對應用程序進行更新，并表示在更新應用程序后將立即公開漏洞。2019年4月份，Monokh再次聯系Ledger要求更新應用程序，但未得到反饋。今年5月份，Monokh將該漏洞的根本原因在簽名功能方面，這可能會導致用戶資金被盜。此后，Ledger稱正在調查該漏洞。之后Monokh多次聯系Ledger并要求披露漏洞并對其進行修復，但未得到回應，Ledger也沒有修復或披露相關漏洞。

安全研究公司Gauntlet稱輕量級區塊鏈協議Mina的攻擊成本很高:安全研究公司Gauntlet分析稱，輕量級區塊鏈協議Mina的攻擊成本非常高。Mina使用一種稱為OuroborosSamasika的權益證明（PoS）變體，可以在驗證epoch之前選擇區塊生產者。如果驗證者可以在網絡中累積足夠多的Stake，以在即將到來的epoch進行多次驗證，則會打開攻擊向量（AttackVector）。Gauntlet認為這種攻擊是不可能的，因為它將需要協議代幣中流動性來積累足夠的Stake以使攻擊獲利。[2021/2/3 18:45:54]

動態 | Cardano基金會宣布加大對區塊鏈安全研究的支持:Cardano基金會宣布將進一步支持非洲、美洲、亞洲和歐洲研究區塊鏈技術的學術項目。其生態系統合作伙伴Input Output HK（IOHK）和EMURGO將支持各種旨在推動數字貨幣和區塊鏈技術發展的計劃。該支持將有助于促進有關整個區塊鏈行業的安全性和脆弱性的研究。[2019/8/15]

聲音 | 安全研究公司：ETC雙花攻擊波及多家交易所 已確認攻擊的核心地址:據CCN消息，區塊鏈安全研究公司Slowmist發布了關于ETC雙花攻擊的完整報告。報告指出，有多家交易所是此次攻擊的受害者。攻擊開始于1月5日UTC時間19:58:15，被攻擊的交易所包括Coinbase、Bitrue和Gate.io，而攻擊主要集中在Bitrue上。攻擊的核心地址是0x24fdd25367e4a7ae25eef779652d5f1b336e31da的所有者。最早是從幣安地址發出的5000枚ETC。該報告同時確認了兩個與攻擊相關的地址，分別為0x090a4a238db45d9348cb89a356ca5aba89c75256和0x07ebd5b21636f089311b1ae720e3c7df026dfd72。[2019/1/10]

Tags：EDGLEDEDGEGERpledge幣最新消息ledger錢包官網下載app蘋果手機ledger錢包支持哪些幣cointiger交易所下載

XMR