支持 Segwit 地址的比特币应用程序和基于比特币的应用程序中出现了一个漏洞,允许攻击者在用户未注意的情况下增加交易费用。
此漏洞在实践中的应用可能性不大,因为它只允许增加交易费用,无法窃取币。此 Ledger 安全公告提供了有关该漏洞的更多信息。
建议用户更新到 Ledger Live 桌面版 2.4.1,并在“我的 Ledger”中将 Ledger 比特币应用程序更新到 1.4.0 版,这些更新中包含漏洞修复。
常见问题解答
攻击者如何利用此漏洞?
攻击的前提是客户端应用程序已被侵入。可以通过诱骗用户安装假冒版本的 Ledger Live 或任何其他钱包应用程序来实现这一前提。然后,在用户使用至少一个 Segwit 输入进行交易时,必须诱使用户进行多笔交易,然后将这些输入组合起来。然后攻击者可以用更高的交易费用向网络广播交易。
此漏洞是否已遭利用?
我们还没有看到任何关于此漏洞已在 Ledger 钱包或任何其他钱包上遭到利用的报告。由于攻击者无法直接窃取任何币种,因此不太可能有人试图加以利用。
在使用 Ledger Live 时如何防止自己受到此漏洞的影响?
如果您只使用 Ledger Live,应更新 Ledger Live 并安装最新的比特币应用程序。这将防止您受到任何利用该漏洞的人的侵害。
- 退出并重新启动 Ledger Live 桌面版应用程序。
- 点击更新通知栏上的 Download now(立即下载)(可能需要一段时间才会出现)。您还可以直接下载并安装 2.4.1 版。
- 前往“我的 Ledger”,点击 全部更新按钮,更新 Ledger 设备上的所有应用程序。您的设备现在将运行比特币应用程序的 1.4.0 版。
在使用第三方钱包时如何防止自己受到此漏洞的影响?
您应该在“我的 Ledger”中安装最新的比特币应用程序。当您正在进行的交易可能被利用时,您的 Ledger 设备上会显示警告。您可以取消交易或仍然继续。
我们鼓励您联系第三方钱包开发人员,要求对方更新 LedgerJS,以便其修复漏洞。