圖片來源: 

Saleem Rashid

一名自稱現年只有15歲的英國駭客Saleem Rashid在本周二(3/20)揭露了知名硬體加密貨幣錢包Ledger的安全漏洞,並以影片展示如何竄改Ledger Nano S的備份種子(Recovery Seed),Ledger同一天即表示已於兩周前釋出的韌體更新修補了該漏洞,也曝露了Rashid與Ledger之間的不合。

加密貨幣的安全性是由公鑰與私鑰來把關,但用戶很容易不小心遺失或外洩自己的私鑰,於是就有硬體錢包的誕生,以安全保存使用者的私鑰。Ledger所打造的Ledger Nano S即是一個支援比特幣、以太幣與Altcoins等加密貨幣的硬體錢包,可保障加密貨幣資產與交易的安全性,定價為79歐元(約2,880元新台幣)。

Rashid所發現的安全漏洞允許他在Ledger Nano S尚未出貨前就竄改裝置的備份種子,由於所有的私鑰都來自備份種子,代表駭客之後可竊取所有存放至該裝置的加密貨幣,且是屬於供應鏈端的攻擊。

Ledger則說,Rashid所揭露的漏洞必須在裝置未產生備份種子時就展開攻擊,以駭客自己的備份種子取代自動產生的備份種子,倘若使用者是自合法經銷商購得Ledger Nano S,並不容易遇到上述攻擊,若是買到二手Ledger Nano S,只要更新韌體就能解決,不論如何,目前並未發現實際的攻擊案例。

此外,Ledger在兩周前釋出的Ledger Nano S韌體更新其實修補了來自3個不同安全人員所提交的漏洞,當中的兩個安全人員都獲得了Ledger的抓漏獎金,只有Rashid拒絕收受。

Rashid表示,這是因為Ledger執行長Eric Larchevêque在Reddit上所描述的技術細節並不正確,他擔心對方無法妥善解釋,再加上Ledger的責任揭露協議卻又要求他不得公布技術細節,於是他只好選擇拒絕。

其實Rashid去年11月就將漏洞資訊及攻擊程式碼提交給Ledger,只是雙方之間的溝通並不愉快。Rashid拒絕提供更多的個人資訊,僅說他住在英國,是個自學的程式設計師。

熱門新聞

Advertisement