自稱15歲的英國駭客破解了Ledger的加密貨幣硬體錢包

一名自稱現年只有15歲的英國駭客Saleem Rashid在本周二（3/20）揭露了知名硬體加密貨幣錢包Ledger的安全漏洞，並以影片展示如何竄改Ledger Nano S的備份種子（Recovery Seed），Ledger同一天即表示已於兩周前釋出的韌體更新修補了該漏洞，也曝露了Rashid與Ledger之間的不合。

加密貨幣的安全性是由公鑰與私鑰來把關，但用戶很容易不小心遺失或外洩自己的私鑰，於是就有硬體錢包的誕生，以安全保存使用者的私鑰。Ledger所打造的Ledger Nano S即是一個支援比特幣、以太幣與Altcoins等加密貨幣的硬體錢包，可保障加密貨幣資產與交易的安全性，定價為79歐元（約2,880元新台幣）。

Rashid所發現的安全漏洞允許他在Ledger Nano S尚未出貨前就竄改裝置的備份種子，由於所有的私鑰都來自備份種子，代表駭客之後可竊取所有存放至該裝置的加密貨幣，且是屬於供應鏈端的攻擊。

Ledger則說，Rashid所揭露的漏洞必須在裝置未產生備份種子時就展開攻擊，以駭客自己的備份種子取代自動產生的備份種子，倘若使用者是自合法經銷商購得Ledger Nano S，並不容易遇到上述攻擊，若是買到二手Ledger Nano S，只要更新韌體就能解決，不論如何，目前並未發現實際的攻擊案例。

此外，Ledger在兩周前釋出的Ledger Nano S韌體更新其實修補了來自3個不同安全人員所提交的漏洞，當中的兩個安全人員都獲得了Ledger的抓漏獎金，只有Rashid拒絕收受。

Rashid表示，這是因為Ledger執行長Eric Larchevêque在Reddit上所描述的技術細節並不正確，他擔心對方無法妥善解釋，再加上Ledger的責任揭露協議卻又要求他不得公布技術細節，於是他只好選擇拒絕。

其實Rashid去年11月就將漏洞資訊及攻擊程式碼提交給Ledger，只是雙方之間的溝通並不愉快。Rashid拒絕提供更多的個人資訊，僅說他住在英國，是個自學的程式設計師。