虚拟货币硬件钱包Ledger保护虚拟货币安全的用户要注意了,根据一份最新的研究报告,Ledger钱包的设计存在漏洞,黑客可能会透过让装置感染恶意病毒,取代用户本来的钱包地址,诱使用户将虚拟货币传给黑客,即便目前尚未传灾情,Ledger也提醒用户必须在交易时执行双重认证,并提出解决方案。
产品设计缺陷,恶意病毒可能窜改钱包地址
上个月中,虚拟货币硬件钱包的新创公司Ledger,才宣布完成7500万美元(约新台币22亿元)的B轮融资,当时执行长Eric Larcheveque更表示想成为「比特币及内存块链的安全守护者。」
外型很像USB随身碟的虚拟货币硬件钱包,内含安全芯片,可让用户在不连网的情况下安全储存、携带私钥,当用户需要在电脑上交易虚拟货币时,必须输入PIN码才能存取私钥,确保虚拟资产的安全性。
不过,根据一份公布在网络社群DocDroid的报告,Ledger坦承硬件钱包产品有漏洞,黑客可能会让装置感染恶意软件,借此轻易取代原本的钱包地址,诱使用户将虚拟货币传给攻击者。
Ledger的漏洞主要来自钱包本身的设计缺陷,因为硬件钱包会不断更新交易钱包地址,DocDroid报告指出,黑客有能力透过恶意软件窜改钱包地址的完整性,以此骗过用户在不知情的情况下,将虚拟货币转给攻击者。
交易时一定要点选交易画面QR Code下方的「监视屏幕icon」,完成钱包地址双重确认
Ledger在官方Twitter上发文提醒用户,在交易时一定要点选交易画面QR Code下方的「监视屏幕icon」,就会在电脑屏幕上显示出钱包地址,用户必须重复确认硬件钱包跟电脑上的钱包地址是相符的,才能执行交易。
目前仅比特币钱包受影响,提醒用户执行双重认证
根据了解,目前受影响的是比特币硬件钱包,以太币、瑞波币钱包不受这项漏洞影响。
Ledger表示,这项漏洞无法完全被根除,「恶意病毒可以随时改变你在电脑屏幕上看到的一切,唯一的解决方案就是建立用户的危机意识,半年前Ledger就在装置上新增双重认证功能。」
再三确认电脑屏幕上的钱包地址跟硬件钱包上显示的是相符的,才是防范黑客的最佳方法
因此Ledger也提醒用户,下次要使用硬件钱包进行虚拟货币交易时,必须再三确认地址相符性。根据Ledger最新说法,近期会在浏览器Chrome上新增比特币钱包的新版软件,让用户能更清楚比对硬件钱包与电脑上地址是否相符,并表示在未来会针对以太币、瑞波币钱包在全球推出软件更新。
