安全研究人员披露Ledger签名安全漏洞，漏洞或导致用户资金被盗

安全研究人员Monokh于8月4日撰文披露加密货币钱包Ledger硬件钱包存在的安全漏洞。Monokh指出，该漏洞可能导致用户资金被盗。Ledger会在除比特币之外的应用程序上公开比特币（主网）密钥和签名信息，会提供误导性的交易确认请求。以比特币和莱特币应用程序为例，漏洞攻击路径为：1. 打开莱特币应用程序；2. 获取比特币隔离见证地址；3. 根据地址查看UTXOs；4. 发起比特币交易并发送给Ledger设备要求签名；5. 得到有效的已签名比特币交易信息。Ledger本应在上述第二、第四步骤中识别错误并对其进行阻止，但仍然提示用户进行交易。所有固件版本和App版本均受到此漏洞影响。Monokh建议Ledger在实时应用程序目录上禁用山寨币（Altcoin）应用程序，直至发布修补程序。

根据漏洞披露进程表，Monokh最初于2019年1月份向Ledger披露与隐私相关的安全漏洞，随后，Ledger更新了固件但未对应用程序进行更新，并表示在更新应用程序后将立即公开漏洞。2019年4月份，Monokh再次联系Ledger要求更新应用程序，但未得到反馈。今年5月份，Monokh将该漏洞的根本原因在签名功能方面，这可能会导致用户资金被盗。此后，Ledger称正在调查该漏洞。之后Monokh多次联系Ledger并要求披露漏洞并对其进行修复，但未得到回应Ledger也没有修复或披露相关漏洞。