Ledger硬體錢包漏洞：使用者的加密貨幣或被轉移

金牛導讀：一個漏洞正在影響市場上所有使用Ledger硬體錢包的使用者，惡意的當事人可通過這一漏洞向使用者顯示欺詐的接收地址。如果這些使用者向這些地址請求資金，那麼為他們準備的加密貨幣最終會落入攻擊者的錢包中。

2月3日，提供加密貨幣硬體錢包的公司Ledger承認，它所有的硬體錢包都受到了漏洞的影響，這可能會讓惡意的一方為使用者提供虛假的接收地址，因此，原本打算接收的加密貨幣最終會落入攻擊者的錢包。

該公司運營的一個twitter賬戶釋出了一條推文，其中包括一個詳細描述該漏洞的報告。正如Ledger在其網站的一個教學頁面上所說的，“每次你想要得到一筆錢時，一個總帳錢包就會產生一個新的地址。”(該頁面在2月5日更新，當訪問它時，引用的文字和與漏洞相關的其他資訊以紅色高亮顯示。)

Ledger警告說，“攻擊者可能會控制你的電腦螢幕，並給你一個錯誤的地址，這將使他受益於任何傳送給它的交易。”報告解釋說，這是因為錢包使用的是執行在電腦上的“JavaScript程式碼”。如果惡意軟體能夠在這臺電腦上執行間接攻擊，它就“可以簡單地替換負責生成接收地址的程式碼”，程式碼將會生成屬於攻擊者的地址。

Ledger提供的報告和檔案都提及瞭如何驗證比特幣接收地址的指導。如Ledger所述，“單擊按鈕，在顯示器上生成二維碼，它將顯示一個在硬體錢包本身螢幕上的地址。在兩個地方都可以看到相同的地址，這是非常重要的，因為如果使用者顯示器上的那個地址與錢包螢幕上的那個地址不匹配，那麼他們顯示器上的地址就不正確。

然而，根據該報告，這樣的模組在Ledger的以太坊錢包介面上是不可用的。“以太坊應用程式(可能還有其他應用程式)沒有解決辦法，使用者沒有辦法驗證接收地址是否被篡改。因此，它的作者建議說:“如果你使用的是以太坊應用程式——無論是Ledger硬體錢包還是任何基於其的軟體錢包，你只能在一個可以保證沒有惡意漏洞的作業系統上使用它。”至少在這個問題得到解決之前。

截至發稿時，Ledger沒有迴應關於該漏洞是否會影響以太坊令牌傳送和接收這一問題。1月27日，該公司的技術長表示：“不會做修復、改變，但將致力於提高公眾意識，這樣使用者可以保護自己免受攻擊。”

Ledger的網站的“基本安全原則(必讀)”更新於2月5日，提醒使用者使用硬體錢包也不能保證百分百不被攻擊。

原作者：Adam Reese

原譯：Helen