В кошельке Ledger обнаружена уязвимость, приводящая к списанию BTC вместо альткоинов

[News Bot]

 

Разработчик Liquality Мохаммед Нохбех (Mohammed Nokhbeh) обнаружил уязвимость в аппаратном кошельке Ledger, которая приводит к списанию биткоинов вместо альткоинов.

Разработчики представили отчет, в котором рассказали, как действует атака. Злоумышленник создает мнимую транзакцию с любыми альткоинами, во время которой у пользователей списываются биткоины. К примеру, у трейдера может складываться впечатление, что он пересылает 0.01 LTC, но фактически с его кошелька будет отправлено 0.01 BTC.

 

Нохбех добавил, что аппаратные кошельки Ledger поддерживают несколько криптовалют с помощью специализированных приложений отдельно для каждого актива, но активировать можно только одно приложение. Оказалось, что внешние приложения могут получать доступ к данным о других криптовалютах даже из неактивных приложений. Исследователи обнаружили, что при использовании уязвимости, если пользователь открывает приложение для LTC, он получает запрос на подтверждение транзакции с биткоином, даже если не использует этот актив. При этом в интерфейсе будут отображаться данные для совершения сделки с LTC. При подтверждении такого запроса в сети Биткоина будет совершена полноценная подписанная транзакция.

 

По словам разработчиков Liquality, Ledger был уведомлен об этой уязвимости еще в январе прошлого года, однако так и не устранил проблему. Однако Ledger сообщил, что всегда тщательно рассматривает все замечания исследователей. По словам Ledger, разработчики Liquality могли отправить сообщение о выявленных проблемах в другие отделы, которые не занимаются устранением багов. Комментируя отчет Liquality, Ledger признал, что приложение биткоина становится доступным при работе с другими криптоактивами. Производитель кошельков объяснил это поддержкой форков биткоина и других криптовалют, созданных на базе блокчейна Биткоина и имеющих общую историю.

 

 

Подробнее: https://bits.media/v-koshelke-ledger-obnaruzhena-uyazvimost-privodyashchaya-k-spisaniyu-btc-vmesto-altkoinov/

[rammendo]

[moneymaker]

По ощущениям не проходит и квартала как объявляют о новой уязвимости аппаратных кошельков. Интерес к битку растёт.

[iRybin]

Покупайте "аппаратные" кошельки - говорили они...

Аппаратные кошельки самые надёжные - говорили они...

 

Ню-ню, при всей кривости, колхозности, интерфейсе из 2000-ых и килограммовом блокчейне (лечится прюном) - поделка от Core с защитой паролем самое лучшее решение для серьёзной суммы. Для повседневки Электрум.

 

А эти брелки-дрочилки - стильно-модно-молодёжно, но НИКАКОГО отношения к безопасности не имеют....

Изменено 6 авг 2020, 13:32 пользователем iRybin

[vdanya]

А насколько страшно если вообще нет носителя для кошешька? Вот я все время смотрю в обозревателе свой кошелек и все боюсь что битки уйдут. Хотя не одним из носителей не воспользовался. Просто сгенерил открытый и закр.ключ(оффлайн) и отправил на кошель несколько транзакций. 

 

Есть конечно и горячие кошельки , но это для удобства если срочно потребовались деньги и их несколько для безопасности.

 

А вот аппаратные даже боюсь покупать. Потерял где и хана ...

Изменено 9 авг 2020, 17:17 пользователем vdanya

[Old Miner]

3 часа назад, vdanya сказал:

А вот аппаратные даже боюсь покупать. Потерял где и хана ...

 

Бекапы нужно делать. Это касается любого кошелька, хоть оффлайнового, хоть аппаратного.

[supreme1]

11 часов назад, vdanya сказал:

А насколько страшно если вообще нет носителя для кошешька? Вот я все время смотрю в обозревателе свой кошелек и все боюсь что битки уйдут. Хотя не одним из носителей не воспользовался. Просто сгенерил открытый и закр.ключ(оффлайн) и отправил на кошель несколько транзакций. 

 

Есть конечно и горячие кошельки , но это для удобства если срочно потребовались деньги и их несколько для безопасности.

 

А вот аппаратные даже боюсь покупать. Потерял где и хана ...

 

При создании кошелька в аппаратнике генерится сид 24 слова. После этого можешь апаратник утопить в болоте. И по 24 сллвам восстановить сотней способов.

Плюс аппаратника в том что вирусы не смогут с него вытащить ключ. А вот в биткоин коре если попал троян на пк то плакали битки твои

[Sm1ck]

Основные пути взлома же - вирус на комьютере жертвы, где обычно стоят кошельки. Там уже ничего не спасет, кроме аппаратника, имхо, который вне устройства. Но при подсоединении тоже могут быть подобные уязвимости.
В общем-то, отдельный ноутбук в офлайн-транзами может и лучше, может и нет. Везде есть нюансы. 
Кто жутко сцыт, можно написать на флешках/бумажках подобно братьям Винелвосс части сида/ключа и разнести по разным местам.
Для средних сумм леджер вполне норм имхо, как минимум. Как один из вариков хранения части денег.