EDGE:安全研究人员披露 Ledger 签名安全漏洞，漏洞或导致用户资金被盗_MON

链闻消息，安全研究人员Monokh撰文披露加密货币钱包Ledger硬件钱包存在的安全漏洞。Monokh指出，该漏洞可能导致用户资金被盗。Ledger会在除比特币之外的应用程序上公开比特币密钥和签名信息，会提供误导性的交易确认请求。以比特币和莱特币应用程序为例，漏洞攻击路径为：1.打开莱特币应用程序；2.获取比特币隔离见证地址；3.根据地址查看UTXOs；4.发起比特币交易并发送给Ledger设备要求签名；5.得到有效的已签名比特币交易信息。Ledger本应在上述第二、第四步骤中识别错误并对其进行阻止，但仍然提示用户进行交易。所有固件版本和App版本均受到此漏洞影响。Monokh建议Ledger在实时应用程序目录上禁用山寨币应用程序，直至发布修补程序。根据漏洞披露进程表，2019年1月份，Monokh最初于2019年1月份向Ledger披露与隐私相关的安全漏洞，随后，Ledger更新了固件但未对应用程序进行更新，并表示在更新应用程序后将立即公开漏洞。2019年4月份，Monokh再次联系Ledger要求更新应用程序，但未得到反馈。今年5月份，Monokh将该漏洞的根本原因在签名功能方面，这可能会导致用户资金被盗。此后，Ledger称正在调查该漏洞。之后Monokh多次联系Ledger并要求披露漏洞并对其进行修复，但未得到回应，Ledger也没有修复或披露相关漏洞。

Yearn向安全研究员xyzaudits发放20万美元奖金以奖励其披露安全漏洞:yearn.finance （YFI）核心开发者banteg发推称，Yearn已向安全研究员xyzaudits发布了20万美元的奖金。杠杆式COMP耕作策略中的漏洞已得到修复，没有资金损失。据悉，安全研究员xyzaudits通过Yearn的安全流程披露了GenLevComp策略类型中的一个攻击向量。Yearn的yvDAI金库附加了两个可能受影响的GenLevComp策略，如果成功利用，攻击者将能够清算受影响策略在Compound上的全部债务头寸，并有可能获得清算费用。[2021/7/1 0:19:53]

声音 | 安全研究院：目前发现超过30w的MikroTik路由器被植入挖矿代码:据白帽汇安全研究院消息，目前发现超过30w的MikroTik路由器被植入挖矿代码，攻击者利用的是维基解密披露的CIA Vault7黑客工具Chimay Red中的winbox任意目录文件读取（CVE-2018-14847）漏洞。[2018/10/11]

声音 | 白帽汇安全研究院负责人：部分区块链厂商安全意识薄弱:据经济参考网，白帽汇安全研究院负责人邓焕8月22日，在2018网络安全生态峰会——区块链安全分论坛上表示，现阶段对于区块链安全的挑战一方面是来自于技术本身，而另外更重要的一方面则是部分区块链厂商自身的安全意识薄弱。他指出，目前中小型交易所对安全的认知仍有不足，大多还未建立完善的安全防御体系。[2018/8/23]

标签：EDGEMON比特币比特币交易Power LedgerWoopMoney比特币行情软件知乎比特币交易app官网

火币APP热门资讯