Ledger回应签名安全漏洞：比特币App已更新改善漏洞

加密货币钱包 Ledger 针对安全研究员 Monokh 披露的安全漏洞写了一篇文章。 Ledger 表示，今天已经发布了 v1.4.6 版本的比特币应用程序，旨在改善 Monokh 披露的安全漏洞。 此外，Ledger还更新了莱特币、狗狗币等应用。 Ledger强调，攻击者无法利用该漏洞获取私钥、助记词等敏感数据。 此外，如果用户不通过设备使用比特币以外的应用程序，也不会受到影响。 新版本将检查用于交易的派生路径，如果偏离常规活动将发出警告消息。 例如验证收款地址时使用了错误的路径，会显示“派生路径异常”，对于已签名的交易，会显示“签名路径不正常”，用户可以选择拒绝他们不确定。 异常路径没有被完全阻止的原因是一些钱包应用程序使用自定义的非标准派生路径。 链闻此前报道，Monokh 披露了 Ledger 硬件钱包存在签名安全漏洞，可能导致用户资金被盗。

原版的：

确保您的比特币安全

在 Ledger，我们的主要目标是确保您可以方便、安全地管理您的加密货币。 为了让我们的硬件钱包的安全性受到外部安全研究人员的彻底挑战，我们设置了一个赏金计划，如果报告的问题证明是有影响力的漏洞，就会奖励他们。 通过这个赏金计划，一位名叫 Monokh 的安全研究员于 5 月 2 日就潜在漏洞联系了我们。

由于他的发现，我们今天推出了一个新的比特币应用程序（1.4.6 版）来修补他向我们披露的漏洞。 莱特币、狗狗币等比特币衍生品应用程序也是如此。 更新您的比特币（和衍生品）应用程序将成功缓解漏洞。

莫诺赫发现了什么

在仔细研究之前，我们想向您保证，此漏洞不能用于获取敏感数据，例如您的私钥或助记词。 另一方面比特币私钥泄露，如果你不通过你的设备使用任何比特币衍生品，你就不会受到攻击。 它也不涉及其他加密货币，如以太坊、XRP 等。也就是说，Monokh 的发现绝对很有趣——我们想就此提供一个透明的观点。

昨天，8 月 4 日，名为 Monokh 的安全研究员在他的网站上发布了一篇博文，详细介绍了一个潜在的漏洞。 有了这个，它可能会诱使用户认为他们正在创建比特币衍生交易（例如：Dogecoin），但他们会通过他们的设备创建比特币交易。

为了解释这是如何工作的，我们需要更多的技术知识。 首先，有人需要获得恶意钱包应用程序或让他们的计算机受到威胁。 这个钱包应用程序会让你看起来像是在发送狗狗币，但实际上会向 Ledger 设备发送不同的派生路径——即比特币派生路径。 由于狗狗币的签名方案与比特币的工作原理相同，因此 Ledger Nano X/S 狗狗币应用程序创建的签名也适用于创建比特币交易。 该漏洞也可用于通过错误的推导路径验证接收地址。 您可以在本文中找到更详细的技术说明。

修复

今天发布的应用程序现在将检查用于交易的派生路径。 如果异常，将显示一条警告消息。 如果在验证接收地址时使用了错误的路径，这将是“派生路径异常”。 对于签署交易，这将是“签名路径不寻常”，然后是“如果不确定则拒绝”。 在这两种情况下，它还会显示使用了哪条路径而不是正常路径。

不寻常的路径没有被完全阻止的原因是因为一些钱包应用程序使用自定义的、非标准的派生路径。 我们希望每个人仍然能够将他们的设备与这些第三方钱包一起使用，尽管在此事件中将显示前面提到的警告消息。 但是，我们建议只有高级用户才尝试这样做。

披露

如开头所述，Monokh 通过漏洞赏金计划报告了此漏洞。 这意味着 Monokh 向我们提供了他们的详细报告，然后给了我们 90 天的时间来创建补丁比特币私钥泄露，然后再公开交流。 在错误赏金计划中，让开发人员有时间实施修复并确保用户安全。 发现漏洞并通过我们的漏洞赏金计划报告漏洞的安全研究人员也可以因他们的努力而获得奖励。

不幸的是，由于同时处理其他问题以及一些沟通不畅，我们很遗憾未能遵守截止日期。 这导致他在我们​​发布修复程序之前公开披露。 沟通不畅的部分原因是使用 Twitter 直接向个别 Ledger 安全工程师发送消息，而不是使用我们的官方赏金电子邮件地址：bounty@ledger.fr 不幸的是，这些 DM 没有被安全团队注意到。

也就是说，我们要衷心感谢 Monokh 的发现并向我们提供了他的报告。 Ledger 安全团队一直在寻找漏洞，漏洞赏金计划在这方面发挥了重要作用，激励外部安全研究人员检查我们产品的安全性，并最终增强我们硬件钱包和应用程序的安全性。 在这种情况下，结果是一个新的比特币应用程序成功地修补了这个潜在的漏洞——现在可以使用了。

更多财经资讯，请持续关注曝光君