[新聞] Ledger 冷錢包爆漏洞！無法識別比特幣及 joug PTT批踢踢實業坊

[新聞] Ledger 冷錢包爆漏洞！無法識別比特幣及

作者: joug (好東西不簽嗎) 2020-08-07 17:14:27

Ledger 冷錢包爆漏洞！無法識別比特幣及分叉鏈，恐致用戶在不知情下轉出 BTC
近期，有網友 monokh 寫了一篇完整文章，揭露硬體錢包公司 Ledger 的應用程式存在著十
分嚴重的安全問題：它無法將授權交易的 APP 隔離處理不同幣種，意即當用戶以為其正
在交易如比特幣現金（BCH）、萊特幣（LTC）等幣值較低的幣種時，實際上很有可能是在
不知情的情況下交易了比特幣（BTC）。
Ledger 錢包的漏洞
出於安全考量，許多用戶會將加密貨幣儲存在冷錢包中。
Ledger 冷錢包的重要功能之一是隔離不同幣種間的交易，你一次只能在一個設備上解鎖
一個應用程式以交易特定幣種；解鎖後的資產將會與外部連結，能夠導出公鑰、產生數位
簽章、確認交易。因此，若 Ledger 要達成「安全」的目標，第一條件即是「沒有被解鎖
的應用程式無法與外界連結」。
而近期網友 monokh 發現，Ledger 無法識別比特幣主網以及其分叉，也就是說若你解鎖
了 BCH 的應用程式，則比特幣（BTC）、BCH 等的應用程式皆能與外部連結、進行交易。
而今天假設你要傳送 BCH，將會經過以下步驟：
解鎖 BCH 的應用程式
找到比特幣的 segwit 地址
查詢 UTXO 並建立比特幣交易
發送提示到設備以簽署此交易
接收在比特幣主網上有效的數位簽章
你以為你在交易 BCH，實際上你交易了 BTC。Ledger 應於第二步就發現錯誤並阻止接下
來的執行，但功能缺失讓其不斷在設備上提示用戶他是在交易 BCH。
monokh 表示，若未能及時修復此漏洞，將可能導致嚴重的後果，任何人都可利用用戶對
Ledger 錢包的信任進行攻擊，用戶可能會被欺騙交易比特幣、將幣種數量洩漏等。
而他也從 5 月開始不斷地向 Ledger 告知此漏洞，但 Ledger 尚未修正。儘管 Ledger
已經承認了問題的存在，但他們僅在現有的應用程式更新版中加入提示，若用戶面臨到此
類狀況，將會跳出提醒。
Reddit 社群反應
8 月 4 日，有網友在 reddit 上轉貼 monokh 的文章皆露此事，引起網友廣泛討論。其
中不乏本來就對 Ledger 安全性不甚滿意的網友，而 Ledger 官方的緩慢回應也使網友觀
感不佳。
很棒的發現，而這已經是第二次通過被破壞的控制設備存在的硬幣竊取漏洞，我想是時候
該扔掉我的分類帳並轉移到其他地方了
Ledger 的態度不令我意外，過去報告安全漏洞時，我持相同的態度和回應。
在我公開披露後，他們才開始認真對待它。
Ledger 的回應
在 monokh 的文章貼出後，Ledger 沉寂幾天終於做出回應。表示修復漏洞所花費的時間
大於預期，導致在還未修復完成時 monokh 就在網路上揭露了此事。
針對為什麼僅顯示僅告而非阻止此類交易，Ledger 給出了以下回應：
如果這些交易被阻止，這將鎖定我們許多用戶的資金。這是由早期比特幣分叉的結構引起
的整個行業的問題。
國外網友對 Ledger 的回應並不領情，看來 Ledger 的安全團隊真的需有好好投入成本、
修正漏洞的決心，才有辦法從日益競爭的冷錢包市場中挽回用戶的心。
https://www.blocktempo.com/ledger-wallet-vulnerability/
Ledger冷錢包漏洞專家怎麼看

作者: DarkerDuck (é”å…‹é´¨) 2020-08-07 18:14:00

Ledger對於BTC分叉幣支援本來就很差到現在都還是不支援cashaddress，完全無心經營我硬體錢包基本上只放大筆的ETHBCH我寧可小額放獨立手機錢包大額則是用VM產生私鑰seed後，摧毀VM再離線保存

作者: illidan9999 (DH) 2020-08-07 21:36:00

達克鴨怎麼不用coolwallet或Trezor呢？

作者: DarkerDuck (é”å…‹é´¨) 2020-08-07 21:46:00

Trezor和Coolwallet我也都有，可以拿來放中金額資金比Ledger也用心多了，有支援CashaddressTrezor也有直接支援Electron Cash只不過我拿的Trezor型號太舊了，韌體升不上去之後再買個新型號的Trezor One大額資金不常動，沒放在硬體錢包也沒差可以每一百BCH就創建一個出來，把私鑰密語放好地址放在自己常見的地方，要丟錢進去也很方便真的有需要的時候再匯入硬體錢包，多層次管理我自己是不喜歡把所有錢就丟到一個硬體錢包每一百BCH就分一個出來，可以確保最大風險就是100BCH像是之前就有硬體錢包出包，轉XMR轉到整個錢包錢不見https://tinyurl.com/y5eb4a5w

作者: TarokoSam (太魯閣天空) 2020-08-07 22:13:00

板大有用HTC Exodus嗎？

作者: a23962787 (ä¸æ“²éª°åçš„è²“) 2020-08-07 22:15:00

ledger可以用Electron Cash吧

作者: DarkerDuck (é”å…‹é´¨) 2020-08-07 22:20:00

HTC Exodus沒在玩ledger和Trezor都有支援Electron Cash

作者: TellthEtRee (開出頭獎) 2020-08-07 23:04:00

Exdous有內建隔離見證，可以推一下

作者: qxxrbull (XPEC) 2020-08-08 02:33:00

HTC Exodus支援XMR了嗎我去年9月賣掉前他XMR和BCH cashaddr都還不支援

作者: leftc (é˜¿å·¦) 2020-08-08 08:05:00

欸版大說的XMR轉到不見就是我哈哈受害者是我跟另一位大戶不過其實沒有真的不見啦，只是沒有辦法掃描正確餘額ledger的monero app dev跟我們連絡後其實蠻快就解決了

作者: john371911 (é†¬å»–) 2020-08-08 08:15:00

一百bch...真是大戶。

作者: DarkerDuck (é”å…‹é´¨) 2020-08-08 22:09:00

那是舉例而已，反正就是一個需要冷儲存的基本單位也可以是1 BTC, 10 ETH@leftc，是啊，之前就是你提出整個經過的就算是硬體錢包也是會出包的，雞蛋還是不要都放同籃子

繼續閱讀

[閒聊] 那些即將在美國股票市場上市的加密幣業者ECZEMA [Coin] 幣安錢包會多出一些極微小幣?wpd Re: [閒聊] 有可能兩個錢包重複嗎？wtl [交易] 火币网交易所Bruce003 Re: [新聞] Crypto.com 將以 CRO 取代 MCO 代幣UK5566 [閒聊] 新手台幣入金疑問irene210181 [閒聊] 有可能兩個錢包重複嗎？pshadow1 [新聞] 看好比特幣前景！美議員：疫情過後將變得joug Re: [新聞] Crypto.com 將以 CRO 取代 MCO 代幣qxxrbull Re: [新聞] Crypto.com 將以 CRO 取代 MCO 代幣entanglelove