通过 Ledger Swap PlatoBlockchain 数据智能提高安全性。垂直搜索。人工智能。

使用 Ledger Swap 提高安全标准

时间戳:16年2021月4日27:XNUMX AM

08/16/2021 | 拱顶

使用 Ledger Swap,您可以轻松安全地在 Ledger Live 中兑换硬币。 交换硬币就像发送交易一样简单。 它不需要地址验证,同时增强了最先进的安全性。

Ledger 交换展示了 Ledger Live 和您的 Ledger 硬件钱包内置的端到端安全性的强大功能。

什么是交换?

Swap 允许用户快速将一种加密资产交换为另一种加密资产。 它不需要您先将资金转移到交易所,然后再与支持的货币对交易您的资产。

相反,通过交换,您可以在一次交易中发送您希望交换的加密资产,然后您会收到另一笔交易。 这一切都是通过直接从您的钱包发送单个掉期交易来实现的。

通过 Ledger Swap PlatoBlockchain 数据智能提高安全性。垂直搜索。人工智能。

掉期如何运作?

一般原则非常简单。 有第三方提供掉期服务。 如果用户想用 BTC 交换 ETH,第三方会提供该交换的费率,包括佣金。 例如,他们可能会提出将 0.05 BTC 换成 0.14 ETH。

通过 Ledger Swap PlatoBlockchain 数据智能提高安全性。垂直搜索。人工智能。

要接受报价,用户必须提供接收 ETH 的地址并将 0.05 BTC 发送到交换提供商提供的地址。

通过 Ledger Swap PlatoBlockchain 数据智能提高安全性。垂直搜索。人工智能。

安全分析

从用户的角度来看,交换包括:

  1. 签署传出交易(发送 BTC)
  2. 提供接收地址(接收 ETH)

大多数硬件钱包用户都知道这两个操作是敏感的。 他们需要进行基本检查以确保最佳安全级别:

  • 在验证交换交易之前,必须在设备上验证交换提供者地址。 事实上,钱包界面(电脑、智能手机)上显示的信息不应该被信任。
  • 提供商会将交换的硬币发送到的用户地址,应该在共享之前在设备上进行验证。

将 BTC 与 ETH 交换时的主要问题是地址是由钱包接口(例如 Ledger Live)获取的。 因此,如果这个钱包遭到破坏,攻击者可以用他自己的地址替换其中一个地址。

通过 Ledger Swap PlatoBlockchain 数据智能提高安全性。垂直搜索。人工智能。
攻击者替换ETH地址的攻击场景
通过 Ledger Swap PlatoBlockchain 数据智能提高安全性。垂直搜索。人工智能。
攻击者替换BTC地址的攻击场景

由于用户的地址是由 Ledger Live 自动发送给交换提供商的,因此用户无法在硬件钱包上验证地址。 如果没有对策,用户将无法防范恶意地址替换。

这个问题对所有钱包都很常见,无论它们是否是硬件。 如何以用户友好的方式安全地交换地址?

为了解决这个问题,我们开发了世界上第一个具有端到端安全性的交换集成。

与端到端安全交换

整个机制非常简单,并在以下步骤中进行了描述。

与您的 Ledger 硬件钱包交换

1- 交换操作由 Ledger Live 发起,它与交换提供者 API 通信以获取汇率。 “0.005 BTC 多少 ETH?”

2- 掉期提供商以掉期报价回答:“0.14 ETH 换 0.005 BTC”。 然后用户可以接受报价并继续确认交换。

3- 现在必须在设备上打开 Exchange 应用程序。 这是交易的安全部分发生的地方:安全元件生成交易 ID 并将其与执行交换请求信息的必要信息一起发送给交换提供者:

  • outgoing currencyoutgoing amountprovider address
  • receiving currencyreceiving address 此信息被发送到 Ledger Live,后者将其转发给掉期提供者。

4- 供应商以掉期报价回答。 它构造一个包含交换的最终信息的有效负载:

  • Outgoing cryptooutgoing amountprovider address (BTC)
  • receiving cryptoreceiving amountuser address (ETH)
  • Transaction ID
  • Signature 这个有效载荷的

提供者发回这个 signed payload 到 Ledger Live,后者又将其转发到硬件钱包。

通过 Ledger Swap PlatoBlockchain 数据智能提高安全性。垂直搜索。人工智能。

5-收到后 signed payload,在安全元件内运行的 Exchange 应用程序验证 signature 使用提供者的有效载荷的 public key 和 transaction ID。 这 public key 由 Ledger 认证,用于验证此证书的公钥存储在 Exchange 应用程序中。

  • 签名确保有效载荷实际上是由提供者发送的(不可否认原则)。
  •  transaction ID 避免重放攻击

6- Exchange 应用程序显示掉期交易的金额,以便用户可以验证它们。 在后台,应用程序会自动验证用户的以太坊和比特币地址确实由设备管理,因此用户不必手动验证它们。 由于提供者的加密签名,提供者的地址是可信的。

通过 Ledger Swap PlatoBlockchain 数据智能提高安全性。垂直搜索。人工智能。

7- 最后,现在可以执行交换操作。 Exchange 应用程序调用比特币应用程序来计算它返回的交易签名。

8- 交换提供商收到 BTC 后,将发回 ETH,然后所有操作详细信息将显示在 Ledger Live 中。

瞧,你刚刚进行了一次交换 安全!

结论

我们已经展示了如何在 Ledger Live 中的 Swap 操作上实现端到端的安全性,同时改善用户体验。

  • 由于用户无需验证任何地址,因此在安全性和用户体验方面进行了巨大改进!
  • 在今天的设置中,如果发送和接收帐户都由相同的恢复短语备份,则用户只能交换加密。
  • 现在我们已经实现了这个目标,我们将在未来研究确保去中心化交换。
  • 我们希望我们的工作能激励其他钱包,共同提高安全性和易用性的标准。

资料来源:https://www.ledger.com/rising-the-bar-for-security-with-ledger-swap

时间戳记:

更多来自 莱杰