链闻 ChainNews 诚邀读者共同监督,坚决杜绝各类代币发行、投资推荐及虚拟货币炒作信息。举报

Ledger

Ledger新闻快讯文章, Ledger深度文章, Ledger快讯, 区块链Ledger, Ledger是什么, Ledger介绍, Ledger解读, Ledger项目, 三分钟了解Ledger, 秒懂Ledger, 如何评价Ledger, Ledger怎么样, Ledger创始人, Ledger招聘, Ledger融资, Ledger价格, Ledger技术, Ledger社区, Ledger论坛, Ledger浏览器, Ledger排名, Ledger白皮书, Ledger本质, Ledger意义, Ledger代码, Ledger游戏, Ledger什么意思, Ledger学习, Ledger培训, Ledger教程, Ledger投资, Ledger赚钱, Ledger安全, Ledger漏洞

Ledger 回应签名安全漏洞:已更新比特币 App 来改善漏洞,漏洞不会泄露私钥和助记词等敏感数据

链闻消息,加密货币钱包 Ledger 撰文回应安全研究人员 Monokh 披露的安全漏洞。Ledger 表示,已于今日发布比特币应用程序 v 1.4.6 版本,该版本旨在改善 Monokh 披露的安全漏洞,另外,Ledger 也针对莱特币、狗狗币等应用程序进行了更新。Ledger 强调,该漏洞不会被攻击者用来获取私钥和助记词等敏感数据。另外,如果用户不通过设备使用除比特币之外的应用程序,则不会受到影响。新版本将会检查用来交易的衍生路径(derivation path),如果和常规活动有所不同,将会发出警告信息。例如,若在验证接收地址时使用了错误路径,则会显示「衍生路径异常」,对于签署交易,会显示「签名路径不正常」,之后用户在不确定的情况下可以选择拒绝。异常路径不会被完全阻止的原因是,某些钱包应用程序使用自定义的非标准衍生路径。链闻此前报道,Monokh 披露了 Ledger 硬件钱包存在的签名安全漏洞,该漏洞可能会导致用户资金被盗。

安全研究人员披露 Ledger 签名安全漏洞,漏洞或导致用户资金被盗

链闻消息,安全研究人员 Monokh 撰文披露加密货币钱包 Ledger 硬件钱包存在的安全漏洞。Monokh 指出,该漏洞可能导致用户资金被盗。Ledger 会在除比特币之外的应用程序上公开比特币(主网)密钥和签名信息,会提供误导性的交易确认请求。以比特币和莱特币应用程序为例,漏洞攻击路径为:1. 打开莱特币应用程序;2. 获取比特币隔离见证地址;3. 根据地址查看 UTXOs;4. 发起比特币交易并发送给 Ledger 设备要求签名;5. 得到有效的已签名比特币交易信息。Ledger 本应在上述第二、第四步骤中识别错误并对其进行阻止,但仍然提示用户进行交易。所有固件版本和 App 版本均受到此漏洞影响。Monokh 建议 Ledger 在实时应用程序目录上禁用山寨币(Altcoin)应用程序,直至发布修补程序。根据漏洞披露进程表,2019 年 1 月份,Monokh 最初于 2019 年 1 月份向 Ledger 披露与隐私相关的安全漏洞,随后,Ledger 更新了固件但未对应用程序进行更新,并表示在更新应用程序后将立即公开漏洞。2019 年 4 月份,Monokh 再次联系 Ledger 要求更新应用程序,但未得到反馈。今年 5 月份,Monokh 将该漏洞的根本原因在签名功能方面,这可能会导致用户资金被盗。此后,Ledger 称正在调查该漏洞。之后 Monokh 多次联系 Ledger 并要求披露漏洞并对其进行修复,但未得到回应,Ledger 也没有修复或披露相关漏洞。
·

Ledger 披露曾在 6 月底遭遇数据泄露现已修复漏洞,约 100 万个邮件地址被泄露

链闻消息,加密货币钱包 Ledger 撰文称其营销和电子商务数据库在 6 月底遭遇数据泄露问题,不过,用户的支付信息和加密资产并未受影响,并且已经对漏洞进行了修复。Ledger 称,该漏洞于 7 月 14 日由一位参与赏金计划的研究人员报告。在修复漏洞后,Ledger 对此展开调查,调查结果发现,这个漏洞在 6 月 25 日就已经被第三方利用,包括公司营销和电子商务数据库也遭到了入侵,访问该数据库的 API 密钥之后已被停用。该数据库包括约 100 万名客户的电子邮件地址,另外还有部分客户的名字、姓氏、电话号码等信息也遭到泄露。目前,Ledger 尚未发现这些数据在互联网上进行出售。
·
·
·

链闻周末荐读|解读以太坊 DeFi 价值链,加密借记卡版图洗牌

LEND、BNT 和 REN 可能推动从纯粹治理到价值捕捉的化学性变化。
链闻周末荐读|解读以太坊 DeFi 价值链,加密借记卡版图洗牌

Kraken 安全部门披露 Ledger Nano X 钱包安全漏洞,Ledger 已发布新版本进行修复

链闻消息,Kraken 网络安全部门 Kraken Security Labs 发文披露关于 Ledger Nano X 钱包中供应链上存在的安全漏洞。该部门识别出两种针对 Ledger Nano X 钱包的潜在攻击手段,分别为坏账本攻击(Bad Ledger Attack)和盲账本攻击(Blind Ledger Attack)。这些攻击可以让恶意攻击者控制连接到钱包的电脑,并安装恶意软件,可能会导致钱包所有者的资金失窃。对此,Ledger 官方回应称,Ledger 已发布固件版本 1.2.4-2,修复了所有问题。Ledger Nano X 上的加密资产仍然是安全的,而且钱包的安全性取决于安全元件,而不是 MCU 芯片。该漏洞纯粹是物理漏洞,不会涉及可以远程执行的攻击。另外,Ledger Nano S 钱包不受此影响。
·

链闻周末荐读|一览波卡全生态项目,谈 DeFi 估值艺术

波卡、DeFi、NFT 洞察与分析。
链闻周末荐读|一览波卡全生态项目,谈 DeFi 估值艺术

ZenGo 披露 Ledger、BRD 和 Edge 等主流加密钱包漏洞,漏洞会使未确认的交易计入用户余额

链闻消息,加密钱包 ZenGo 发布报告称其在 Ledger、BRD 和 Edge 等主流加密货币钱包中发现了一个漏洞(命名为「BigSpender」)。该漏洞可能会使未确认的交易计入用户的总余额中,而此时,攻击者可在交易确认之前撤销该笔交易。攻击者利用了比特币协议中的一项费用替代「Replace-by-Fee」功能。该功能可通过支付更高的手续费来替换此前的一笔交易。攻击者可以连续多次使用该功能进行 BigSpender 攻击。值得注意的是,BigSpender 并不是比特币协议中的漏洞,不会让攻击者窃取比特币,但可用来混淆用户。ZenGo 已经在 90 天之前披露了该漏洞,并同意为这些钱包保密 90 天,保密期限已于 7 月 1 日到期。Ledger 和 BRD 现已向 ZenGo 授予了漏洞赏金。另外,BRD 目前已经发布了修复程序。更新:Ledger 对此回应称,这不是漏洞,只是有恶意行为者会利用该费用替代功能进行诈骗。用户的私钥、PIN 码等信息是安全的。另外,截至目前从未出现过用户被欺骗的报告。Ledger 现已更新 Ledger Live,包括提升用户体验(UX)。用户可直接验证交易状态,并会在有未确认交易的情况下接收到提示通知。
·

野村控股与其合作伙伴公布数字资产托管机构 Komainu 的进展

链闻消息,日本野村控股(Nomura Holdings)与加密钱包制造商 Ledger 和加密资产管理公司 CoinShares 分享了关于其数字资产托管机构 Komainu 的更多细节。Komainu 由泽西岛金融服务委员会监管,并在由 Ledger 创建的符合机构要求的平台上为数字资产提供托管服务,仅支持满足反洗钱(AML)等要求的客户端和代币。Komainu 将由野村控股、Ledger 和 CoinShares 的领导层选出的专家团队管理,其中,CoinShares 联合创始人兼 CEO Jean-Marie Mognetti 将担任 Komainu 的 CEO。据路透社称,Mognetti 在一次采访中表示,「该平台已经在其部分客户中试用了四到五个月,现在正在向新客户推出。」链闻注,Komainu 由野村控股、Ledger 和 CoinShares 三家公司于 2018 年设立,本来计划于 2019 年第二季度推出数字资产托管解决方案 Komainu,后将推出时间推迟至 2020 年。

硬件钱包 Ledger 加入「通用协议联盟」

链闻消息,硬件钱包和数字资产安全解决方案供应商 Ledger 宣布加入「通用协议联盟」(Universal Protocol Alliance)。通用协议联盟的目标是增强加密货币的互操作性,而作为联盟成员的一部分,Ledger 将成为该联盟的数字资产钱包的合作伙伴。目前该联盟的其他伙伴还包括了 Bittrex Global、Uphold、Cred、Blockchain at Berkeley、CertiK。
·

黑客称已盗取 Ledger 和 Trezor 数据库,Ledger 称与真实数据库不匹配

链闻消息,数据泄露监控服务 Under The Breach 报道称,一个以太坊论坛的黑客声称拥有 Trezor 和 Ledger 的数据库以及其他重要的信息。这些数据库据说是通过 Shopify 漏洞获得的。黑客还声称拥有 BankToTheFuture 的完整 SQL 数据库。他们称其目前正在出售这些信息。Ledger 对此回应称,所谓的黑客数据库与真实数据库不匹配,客户的数据不容易被用于钓鱼攻击、诈骗或任何其他攻击,黑客可能完全在撒谎。Ledger 将继续对此事进行调查以证实。Ledger 进一步表示,这名黑客声称,他在 2016 年通过 Shopify 漏洞入侵了 Ledger 客户的数据库,Ledger 尽管目前使用 Shopify 作为其电子商务业务的第三方供应商,但 2016 年的情况并非如此。泄漏数据的内容和结构与 Ledger 不匹配。Shopify 在其电子商务系统中没有发现任何恶意攻击的痕迹,也没有发现可疑活动。

谷歌删除 49 个试图窃取加密货币的恶意 Chrome 扩展

链闻消息,谷歌删除了 49 个恶意 Chrome 扩展程序,这些扩展试图伪装成加密钱包试图从毫无戒心的用户那里窃取加密货币。根据 MyCrypto 安全经理 Harry Denley 的说法,「尽管这些扩展功能大同小异,但根据目标用户的不同,品牌也有所不同。」大部分恶意扩展都在仿造一些流行且受信任的加密钱包程序的界面,例如 Ledger、Trexor、Jaxx、Electrum、MyEtherWallet、MetaMask、Exodus 和 KeepKey,试图欺骗用户输入个人密钥从而窃取加密货币,用户提交给扩展的个人敏感数据将被源源不断输送到这些「钓鱼者」的服务器上。这些恶意扩展甚至还伪造了用户评价,很多类似于「不错」、「有用的应用」和「合法扩展」的评价。这些恶意扩展在 2020 年 2 月开始逐渐涌入谷歌商店,并在 2020 年 3 月增加了版本,然后在 2020 年 4 月发布了更多扩展。Harry Denley 提醒用户注意安全,并在发现恶意扩展时可向 CryptoScamDB 提交报告。

Ledger 通过 Crypto.com 扫码支付接受区块链资产结账

链闻消息,支付及加密货币平台 Crypto.com 宣布已将 Crypto.com 扫码支付功能集成到加密货币硬件钱包制造商及开发商 Ledger 的在线商店。Crypto.com 用户可在 ledger.com 上使用 Crypto.com 扫码支付功能结账,并获得高达 20%的现金返还。可用作支付的区块链资产为 Crypto.com 币(CRO)、比特币(BTC)、莱特币(LTC)、以太坊(ETH)及 Ripple (XRP)。

硬件钱包 Ledger 已支持 Algorand 链上资产

链闻消息,公链项目 Algorand 宣布原生代币 ALGO 以及所有 Algorand 链上的资产均可通过 Algorand 移动钱包,与 Ledger Nano S 和 Nano X 硬件钱包实现全面兼容。Algorand 表示,用户在享受使用 Algorand 移动钱包便利交易的同时,还能通过将加密资产存储在离线加密硬件设备上以确保资产的高度安全。未来任何在 Algorand 链上发行的资产也将自动获得 Ledger Nano X 和 Nano S 的即时支持,这为开发者和资产持有者提供了额外的安全保障。另外,该版本还包含了安卓及 iOS 设备的 Ledger Nano X 蓝牙连接功能。
·

比特币侧链网络 Liquid Network 联盟成员增至 45 个

链闻消息, Blockstream 推出的比特币侧链网络 Liquid Network 宣布新增 10 个联盟新成员,包括 Aquanow、DVChain、MerklePro、非托管 P2P 交易所 Hodl Hodl、硬件钱包 Ledger、ListedReserve、Point95 Global、STOKR、Wiz 和支付公司 Wyre,此次新增将 Liquid 联盟规模扩充到 45 个交易所和金融机构成员。其中一些新成员已经完成 Liquid 集成,包括 Hodl Hodl 在非托管比特币市场中新增 L-BTC 作为付款选项;STOKR 完成了与 Liquid 证券平台的集成,用于发行基于 Liquid 的证券代币,例如即将推出的 EXO 代币;Wyre 推出了可用于购买 L-BTC 的 Apple Pay 快速购买小部件,目前支持 Liquid.net;以及 Wiz 新增联通 Bisq 的 L-BTC P2P 交易,并发布了概念验证的 Liquid 内存池监视器。其他新成员即将推出的集成包括:Ledger 将为 Ledger 硬件钱包和 Ledger Vault 提供 Liquid 资产支持;ListedReserve 将推出基于 Liquid 的澳元稳定币;DVChain、MerklePro 和 Point95 将集成一个基于 Liquid 的结算平台,该平台目前正在开发中。
返回页面顶部
返回链闻首页