Saleem Rashid在周二的网上帖子中解释了他是如何破解莱杰钱包上的固件的。

 

拉希德实施了所谓的“供应链”攻击。这意味着一个目标设备在任何用户接触它之前就被破坏了。

 

对莱杰价值100美元的Nano S钱包的攻击在设备上创建了一个后门，HY华宇注册专利SiFive WorldGuard是一种硬件强制的细粒度安全模型，用于隔离的代码执行和华宇登录数据保护。可以生成预定的钱包地址和密码。有了这些信息，强盗就可以干许多坏事，包括把钱从钱包里寄到攻击者的账户里。

 

拉希德在11月把他被黑的事告诉了莱杰。从那以后，该公司发布了一个新版本的固件，旨在解决Nano S的漏洞，尽管钱包的另一款型号“蓝账本”(Ledger Blue)仍未解决这个问题。

 

严肃但不批判

 

至于莱杰，他对拉希德的发现不以为然。

 

“发现的问题很严重(这就是我们强烈建议更新的原因)，但并不严重，”莱杰的首席安全官查瑞尔斯·吉耶梅特(Charels Guillemet)在网上发帖写道。“资金没有受到威胁，也没有证据表明我们的设备受到了任何现实生活中的攻击。”

 

Guillemet在另一篇关于这次攻击的“深入”文章中解释说，当设备连接到莱杰的服务器下载应用程序或执行固件更新时，使用Rashid的方法安装在钱包上的任何后门都会被检测到。

 

拉希德对Ars Technica表示，他还没有证实固件升级是否完全解决了他的黑客问题，但他指出，即使固件升级解决了问题，该产品的设计缺陷也可能使攻击再次发生。

 

阴影的钱包

 

尽管Rashid发现的漏洞可能会引起用户对莱杰硬件钱包的一些担忧，但总体上不太可能在加密货币用户中造成焦虑。

 

莱杰是硬件钱包的唯一提供者。大多数加密货币用户不使用硬件钱包。

 

“我不认为这会对整个加密货币社区产生巨大影响，”他告诉TechNewsWorld。

 

Trend Micro负责基础设施策略的副总裁威廉·j·马利克(William J. Malik)表示，虽然这次攻击可能不会影响到更广泛的加密货币社区，但它可能会让人们对其他硬件钱包产生怀疑。

 

“这意味着所有的加密货币钱包都可能遭受类似的攻击，”他告诉TechNewsWorld。

 

保障供应链安全

 

尽管莱杰选择通过固件更新来关闭其钱包中的漏洞，对一个想法，一种产品以及将该产品推向市场的热情-这是 华宇总代理的所有特徵。但是，在华宇平台官网要实现这种创新的现实常常需要技能，而这些技能并不一定是其中最好技能的核心能力。但加强其供应链安全可能是必要的。

 

Paygine首席执行官基里尔•拉琴科(Kirill Radchenko)表示:“不管一个解决方案有多好、有多安全、有多安全，总会有弱点可以用来破解它。”

 

“问题是，消除这些差距和防止坏人利用它们的代价有多大。在这种情况下，使用防篡改包装似乎是一个相当充分的措施，可以很容易地实施，这不会影响产品的价格，”他告诉TechNewsWorld。

 

“因此，如果一个弱点能够得到有效的解决，而且不需要花很多钱，”Radchenko继续说，“就不需要改变设备本身或其结构来解决问题。”

 

加密货币加密仍然安全

 

拉希德的漏洞涉及到莱杰钱包的实现，而不是可能存储在里面的任何加密货币的安全性，NYIAX的高级产品总监基斯·舒滕(Kees Schouten)强调说。

 

他告诉TechNewsWorld:“区块链交易本身的安全性不会受到质疑，华宇注册专利灵活性也很重要，因为 华宇代理工程师通常必须针对每种不同的模块配置设计和鉴定单独的电路板和物料清单（BOM）。MAX17853是业界唯一一款可在一块板上支持多通道配置（8至14单元）的IC。也不会因为这次黑客攻击而暴露出来。”

 

“这次攻击不是对密码学的攻击，”拉蒂姆的约翰逊补充道。这是对钱包提供商软件的一次黑客攻击。如果有人破坏了支持加密货币的实际加密技术，那么你就有大麻烦了。”

 

小约翰·梅洛(John P. Mello Jr.)自2003年以来一直是ECT新闻网络的记者。他关注的领域包括网络安全、IT问题、隐私、电子商务、社交媒体、人工智能、大数据和consu