拉希德跟 Ledger 的竞争对手并没有任何直接联系,但也有一些说法称,他为 Trezor 和其他一些硬件钱包竞品做了一些工作。拉希德的回应如下:
为了充分披露信息:我拥有一个@TREZOR 钱包,我还拥有一个@DigitalBitbox 钱包。
我过去曾为开源的@TREZOR 框架贡献过代码,我也曾作为@NEMofficial 的合同工,为 TREZOR 提供过部署$NEM 的支持。
Ledger 团队称,这些漏洞具有危险性,但可以避免。对于“供应链攻击”,他们写道:“在种子生成前对设备实施物理访问,攻击者可以通过植入自己的种子而不是生成新的种子来欺骗设备。这种攻击最有可能发生的场景是心怀叵测的经销商设置骗局。”
“如果你是从其他渠道买到设备的,如果那是一台二手设备,或者如果你无法确定,那么你可能成为一场精心安排的骗局的受害者。然而,正如现实当中并未出现这种攻击事例,它发生的可能性很小。不管怎样,如果你能成功进行固件升级,那么就能证明你的设备没有遭到入侵。”该团队写道。
此外,在用户购买之后实施的攻击“只能通过对设备进行物理访问、知晓你的密码并安装一个未签名的恶意应用才能实现。该恶意应用能够打破应用之间的隔离,并访问由特定应用(比如 GPG、U2F 或 Neo)管理的敏感数据。”
Ledger 首席执行官埃里克·拉什维克(Eric Larchevêque)表示,他们没有接到任何声称这些漏洞对活跃设备产生影响的报告。
“据我们所知,没有人遭到入侵。”他说,“我们没有听说任何设备受到了影响。”
在拉希德这一边,他对 Ledger 的回应速度感到失望,他在 Twitter 的回复中写道:
duudls@duudls
Ledger 没有以“快得惊人”的速度修复他们的漏洞吗?
萨利姆·拉希德@spudowiar
没有,他们并没有。
duudls@duudls
他们用了多长时间?
萨利姆·拉希德@spudowiar
大约 4 个月,整个过程的沟通非常糟糕。
duudls@duudls
漏洞是在 4 个月前公开的?为什么它到了前几天才引起关注?
萨利姆·拉希德@spudowiar
不是,我是在 4 个多月前向他们披露漏洞的。
Ledger 团队对此并不认账。
“在过去的 4 个月里,我们一直跟萨利姆保持着联系。”拉什维克说,“说我们没有回应他或者什么也没干,这不符合事实。同期还有其他漏洞出现了,而且是深植于我们系统构架的复杂漏洞。”
“所有的系统都存在漏洞。”拉什维克说,“这是任何安全系统的一部分,这是一种猫鼠游戏。”
钱包制造商 Trezor 也宣布对他们的硬件进行一次升级,以此验证设备的完整性。
说到底,这次漏洞事件向我们表明,硬件钱包是一个很好的解决方案,但依旧不是百分百安全,定期进行更新以及仔细管理密钥仍然非常重要。