EDG:安全研究人员披露 Ledger 签名安全漏洞，漏洞或导致用户资金被盗_DGE

链闻消息，安全研究人员Monokh撰文披露加密货币钱包Ledger硬件钱包存在的安全漏洞。Monokh指出，该漏洞可能导致用户资金被盗。Ledger会在除比特币之外的应用程序上公开比特币密钥和签名信息，会提供误导性的交易确认请求。以比特币和莱特币应用程序为例，漏洞攻击路径为：1.打开莱特币应用程序；2.获取比特币隔离见证地址；3.根据地址查看UTXOs；4.发起比特币交易并发送给Ledger设备要求签名；5.得到有效的已签名比特币交易信息。Ledger本应在上述第二、第四步骤中识别错误并对其进行阻止，但仍然提示用户进行交易。所有固件版本和App版本均受到此漏洞影响。Monokh建议Ledger在实时应用程序目录上禁用山寨币应用程序，直至发布修补程序。根据漏洞披露进程表，2019年1月份，Monokh最初于2019年1月份向Ledger披露与隐私相关的安全漏洞，随后，Ledger更新了固件但未对应用程序进行更新，并表示在更新应用程序后将立即公开漏洞。2019年4月份，Monokh再次联系Ledger要求更新应用程序，但未得到反馈。今年5月份，Monokh将该漏洞的根本原因在签名功能方面，这可能会导致用户资金被盗。此后，Ledger称正在调查该漏洞。之后Monokh多次联系Ledger并要求披露漏洞并对其进行修复，但未得到回应，Ledger也没有修复或披露相关漏洞。

中国信通院举办元宇宙安全研讨会:2022年1月20日，在工业和信息化部网络安全管理局指导下，中国信息通信研究院安全研究所组织召开元宇宙安全研讨会。与会专家普遍认为：一是元宇宙是一种全新的互联网交互模式，将带来开放协作的经济形态和商业模式；二是元宇宙是一种极度复杂、高度数字化、虚实结合的互联网形态，既面临传统的数据安全、网络安全和内容安全等风险，也面临新型网络攻击和伦理风险等挑战。三是元宇宙仍处于行业发展的初级阶段，但发展空间巨大，应当提前部署风险应对措施。（金十）[2022/1/26 9:15:09]

现场 | 腾讯安全高级安全研究员张尧：可信融合的方案非常广阔:金色财经现场报道，10月15日，华山论剑2020网络安全大会于西安召开，在大会的区块链安全与应用创新分论坛上，腾讯安全高级安全研究员张尧演讲表示，当把明文数据放到链上，会涉及较多的隐私问题，可以通过可信计算解决相应问题，例如TEE。TEE Enclave是一个被保护的容器，可以结合很多区块链需要的功能，当区块链和可信计算结合，可信计算有很好的通用性，可以对区块链的瓶颈做一个补充。可以预测的是，可信融合的方案是非常广阔的，目前有一些可以尝试结合的方案，例如高速的链下支付管道、新型共识。在安全领域的密钥管理、可信预言机。以及基于TEE的隐私合约实现的隐私交易、多方计算等。[2020/10/15]

金色相对论 | 360安全研究员彭峙酿：区块链游戏在安全层面最大的问题是区块链项目编程和传统软件编程特性不太一样:在本期金色相对论之“Dapp游戏”中，针对金色财经内容合伙人佟扬“区块链游戏落地在安全层面最大的困难是什么”的提问，360核心安全事业部安全研究员彭峙酿博士表示，区块链游戏在安全层面最大的问题，是区块链项目本身编程模型的一些特性和传统软件编程特性不太一样。在传统安全模型中，一个协议，一个事件，是顺序发生的。而在区块链中，因为可能有 回滚、分叉的可能性，所以很多原本安全的方案和协议，不能直接放到区块链上使用。

另外一点就是，区块链因为去中心化的特性。 所以会导致性能上可能有一定缺陷。? ? 这个时候一些方案为了更好的体验，可能会一定程度上忽略安全性，从而导致问题。[2018/12/3]

标签：EDGGEREDGEDGEHEDG价格HEADBANGERS价格BZEdgeiXledger

Bitcoin热门资讯