Ledger硬件钱包存在漏洞，通过MITM可篡改钱包地址

近日，刚获得7500万美元B轮融资的加密货币硬件钱包“Ledger”被曝存在漏洞，且已经由匿名安全研究员确认，网络犯罪分子可利用该漏洞向Ledger使用者展示欺诈性钱包地址，最终导致虚拟货币被转移到攻击者的钱包中。

硬件钱包通常被认为是存储加密货币最安全的选择，但是这次Ledger的新漏洞无疑注明了即便是硬件钱包，也无法完全保证用户的虚拟财产安全。

Ledger官方于2月3日在推特上发推承认了该设计缺陷，并附带了一个报告详述了漏洞细节【阅读原文】。该报告称，Ledger钱包在每次收到付款时都会生成一个新地址，不过如果电脑感染了恶意软件，那么当用户试图生成地址以转移加密货币时，攻击者可通过中间人攻击将加密货币转移到欺诈地址。

在侵入计算机之后，攻击者可以暗中替换生成唯一钱包地址的代码（由于Ledger钱包在电脑上运行JavaScript代码，所以如果电脑感染了恶意软件，那么所有要做的就只有将生成地址的代码替换成指向攻击者钱包的代码），从而将这些加密货币转移到攻击者的钱包中。报告强调说：“攻击者可能会控制你的电脑屏幕，然后向你展示一个错误地址，因此他就成了这次交易中的唯一受益人。”

报告也提到，如果想防止诸如此类的攻击，用户必须在转移资金之前确认钱包地址是否正确，验证的具体步骤是点击二维码下方的按钮。点击之后会显示硬件钱包的地址，用户可据此验证。但是这种方法没法用于以太币钱包插件，也就是说如果使用后者，用户将无法验证地址是否正确。

该报告的作者称：“如果你在用以太坊应用程序，那么在该问题未得到解决之前，一定要保证在没有恶意软件的电脑上使用。”

发现该漏洞的安全研究人员也表示该公司并未严肃处理他们的发现，“我们直接联系了Ledger的CEO和CTO以便私下解决问题，然后收到了一个回复，要求提供攻击细节，之后我们的邮件被忽略了三个星期，最后得到答复说不会进行任何修复。”研究人员称，“虽然Ledger的CTO说不会进行任何修复（提醒用户验证地址的建议也被拒绝），但是他们称会致力于提高公众意识，以防止用户受到此类攻击。”

通过恶意软件篡改钱包地址只是冰山一角，近日就有网友moddyrocket在Reddit上发帖，称自己在eBay上买了个二手Ledger，但是一周没用，钱就全部消失了。

据Reddit上的信息，钱包卖家预先在设备中写入了recovery seed，而不是采用原厂的random seed，所以导致了这位买家的财产损失。所以除了恶意软件篡改导致的损失之外，Ledger硬件钱包使用者也需要注意第三方卖家手中的Ledger钱包。正如前文所提到的，就算硬件钱包十足安全，使用者也可能会成为薄弱环节，在防范恶意软件的同时，也不要为了节省时间或金钱购买来源不可靠的Ledger钱包。

参考来源：hackread/cointelegraph，FB小编Covfefe编译，转载请注明来自FreeBuf.COM