GER:安全研究人員披露 Ledger 簽名安全漏洞，漏洞或導致用戶資金被盜_EDG

鏈聞消息，安全研究人員Monokh撰文披露加密貨幣錢包Ledger硬件錢包存在的安全漏洞。Monokh指出，該漏洞可能導致用戶資金被盜。Ledger會在除比特幣之外的應用程序上公開比特幣密鑰和簽名信息，會提供誤導性的交易確認請求。以比特幣和萊特幣應用程序為例，漏洞攻擊路徑為：1.打開萊特幣應用程序；2.獲取比特幣隔離見證地址；3.根據地址查看UTXOs；4.發起比特幣交易并發送給Ledger設備要求簽名；5.得到有效的已簽名比特幣交易信息。Ledger本應在上述第二、第四步驟中識別錯誤并對其進行阻止，但仍然提示用戶進行交易。所有固件版本和App版本均受到此漏洞影響。Monokh建議Ledger在實時應用程序目錄上禁用山寨幣應用程序，直至發布修補程序。根據漏洞披露進程表，2019年1月份，Monokh最初于2019年1月份向Ledger披露與隱私相關的安全漏洞，隨后，Ledger更新了固件但未對應用程序進行更新，并表示在更新應用程序后將立即公開漏洞。2019年4月份，Monokh再次聯系Ledger要求更新應用程序，但未得到反饋。今年5月份，Monokh將該漏洞的根本原因在簽名功能方面，這可能會導致用戶資金被盜。此后，Ledger稱正在調查該漏洞。之后Monokh多次聯系Ledger并要求披露漏洞并對其進行修復，但未得到回應，Ledger也沒有修復或披露相關漏洞。

聲音 | 安全研究公司：ETC雙花攻擊波及多家交易所 已確認攻擊的核心地址:據CCN消息，區塊鏈安全研究公司Slowmist發布了關于ETC雙花攻擊的完整報告。報告指出，有多家交易所是此次攻擊的受害者。攻擊開始于1月5日UTC時間19:58:15，被攻擊的交易所包括Coinbase、Bitrue和Gate.io，而攻擊主要集中在Bitrue上。攻擊的核心地址是0x24fdd25367e4a7ae25eef779652d5f1b336e31da的所有者。最早是從幣安地址發出的5000枚ETC。該報告同時確認了兩個與攻擊相關的地址，分別為0x090a4a238db45d9348cb89a356ca5aba89c75256和0x07ebd5b21636f089311b1ae720e3c7df026dfd72。[2019/1/10]

金色相對論 | 360安全研究員彭峙釀：區塊鏈游戲在安全層面最大的問題是區塊鏈項目編程和傳統軟件編程特性不太一樣:在本期金色相對論之“Dapp游戲”中，針對金色財經內容合伙人佟揚“區塊鏈游戲落地在安全層面最大的困難是什么”的提問，360核心安全事業部安全研究員彭峙釀博士表示，區塊鏈游戲在安全層面最大的問題，是區塊鏈項目本身編程模型的一些特性和傳統軟件編程特性不太一樣。在傳統安全模型中，一個協議，一個事件，是順序發生的。而在區塊鏈中，因為可能有 回滾、分叉的可能性，所以很多原本安全的方案和協議，不能直接放到區塊鏈上使用。

另外一點就是，區塊鏈因為去中心化的特性。 所以會導致性能上可能有一定缺陷。? ? 這個時候一些方案為了更好的體驗，可能會一定程度上忽略安全性，從而導致問題。[2018/12/3]

中國人民大學金融科技與互聯網安全研究中心主任楊東前往日本共同探討中日數字貨幣交易和監管的最新動態:2月8日，Jeff Pablo代表LBTC參加位于日本六本木DDM本社舉辦的數字貨幣亞洲論壇。本次中國人民大學金融科技與互聯網安全研究中心主任、大數據區塊鏈與監管科技實驗室主任楊東教授帶團訪問日本，邀請了掌握日本虛擬貨幣前沿動態的各位日本專業人士，共同探討中日數字貨幣交易和監管的最新動態。此外，日本央行、財務省、金融廳、東京證券交易所、野村綜合研究所，亞洲各代表性數字貨幣交易所負責人、企業家、數字貨幣投資機構、律師等200多人出席了此次論壇活動。此次活動還受到日本經濟新聞社，Thomson Reuters，日本銀行及三井物產等多家媒體和機構企業的關注，他們都參與了此次論壇。[2018/2/10]

Tags：GEREDGLEDDGECTOGER價格ledgitledger錢包官網打不開The Bridge

BNB