少年黑客加密貨幣錢包，比你想像中更多！

Saleem Rashid 在他的博客上寫道，他已經編寫了代碼，讓他進入Ledger Nano S的後門，這是一款100美元（70英鎊）的設備，已在全球售出數百萬美元。

他說，這會讓惡意的攻擊者耗盡資金的錢包。

錢包背後的公司表示已經發布了安全補丁。

相信這個缺陷也會影響到另一個模型 - 納米藍 - 並且一個修補程序將在幾周內不可用，該公司的首席安全官Charles Guillemet告訴Quartz雜誌。

諸如比特幣這樣的密碼貨幣使用一種稱為公鑰加密的加密方法來保護資金。用戶只能在有權訪問私鑰的情況下才能花錢存儲。

"沒有賞金"

硬體錢包存儲這些私鑰，可以通過USB埠連接到PC。

攻擊目標是設備的微控制器，其中一個存儲私鑰，另一個充當其代理以支持顯示功能和USB介面。

後者的安全性較差，無法區分真正的固件（編入設備的軟體）和外部編寫的代碼。

對青少年發現的方法的一個重要警告是，攻擊者在進入受害者手中之前需要物理訪問錢包 - 例如，購買一個，改變它然後在eBay或者eBay上出售類似的在線網站。

在他的博客中，拉希德說，他已經將他開發的代碼發送給萊傑「幾個月前」，並補充說他沒有得到報酬。

他說，他選擇在萊傑首席執行官拉里切夫克（Eric Larcheveque）在Reddit上發表評論後發表評論，據這位青少年稱，「技術上不準確」。

危險"誇大"

「由於這個原因，我擔心這個漏洞不會被正確地解釋給客戶，」他寫道。

在他的Reddit評論中，Larcheveque先生說安全問題「被大大地誇大了」。

「儘管可能，但這個概念證明並不是嚴格的嚴格級別，並且從未被證明過，」他寫道。

他指責這名青少年在公司沒有將修復措施作為「重要安全更新」時表示「顯然不高興」，並表示他上市的決定「產生了很多恐慌」。

安全公司Tripwire的研究人員Craig Young評論道：「要讓物理訪問的攻擊者徹底保護任何設備是非常困難的，這就是為什麼擁有值得信賴的組件製造商，商家和維修設備至關重要。

「在這種特殊情況下，人們發現任何有實際訪問許可權的人都可以修改Ledger硬體錢包以獲取資金，實際上，這意味著有人出售這個硬體錢包可以從他們的客戶那裡竊取資金。

「幸運的是，萊傑所有者將問題負責任地報告給供應商，並通過協調披露將最終用戶的風險降至最低。」

幾個星期前，萊傑證實，一個單獨的漏洞使得它的錢包容易受到另一次攻擊，在這次攻擊中，惡意軟體可能會誘騙用戶不知不覺地將其加密貨幣發送給黑客。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！