Jump to content
News Bot

В кошельке Ledger обнаружена уязвимость, приводящая к списанию BTC вместо альткоинов

Recommended Posts

v_koshelke_ledger_obnaruzhena_uyazvimost_privodyashchaya_k_spisaniyu_btc_vmesto_altkoinov.jpg

 

Разработчик Liquality Мохаммед Нохбех (Mohammed Nokhbeh) обнаружил уязвимость в аппаратном кошельке Ledger, которая приводит к списанию биткоинов вместо альткоинов.

Разработчики представили отчет, в котором рассказали, как действует атака. Злоумышленник создает мнимую транзакцию с любыми альткоинами, во время которой у пользователей списываются биткоины. К примеру, у трейдера может складываться впечатление, что он пересылает 0.01 LTC, но фактически с его кошелька будет отправлено 0.01 BTC.

 

Нохбех добавил, что аппаратные кошельки Ledger поддерживают несколько криптовалют с помощью специализированных приложений отдельно для каждого актива, но активировать можно только одно приложение. Оказалось, что внешние приложения могут получать доступ к данным о других криптовалютах даже из неактивных приложений. Исследователи обнаружили, что при использовании уязвимости, если пользователь открывает приложение для LTC, он получает запрос на подтверждение транзакции с биткоином, даже если не использует этот актив. При этом в интерфейсе будут отображаться данные для совершения сделки с LTC. При подтверждении такого запроса в сети Биткоина будет совершена полноценная подписанная транзакция.

 

По словам разработчиков Liquality, Ledger был уведомлен об этой уязвимости еще в январе прошлого года, однако так и не устранил проблему. Однако Ledger сообщил, что всегда тщательно рассматривает все замечания исследователей. По словам Ledger, разработчики Liquality могли отправить сообщение о выявленных проблемах в другие отделы, которые не занимаются устранением багов. Комментируя отчет Liquality, Ledger признал, что приложение биткоина становится доступным при работе с другими криптоактивами. Производитель кошельков объяснил это поддержкой форков биткоина и других криптовалют, созданных на базе блокчейна Биткоина и имеющих общую историю.

 

 

Подробнее: https://bits.media/v-koshelke-ledger-obnaruzhena-uyazvimost-privodyashchaya-k-spisaniyu-btc-vmesto-altkoinov/

Share this post


Link to post
Share on other sites

Share this post


Link to post
Share on other sites

По ощущениям не проходит и квартала как объявляют о новой уязвимости аппаратных кошельков. Интерес к битку растёт.

Share this post


Link to post
Share on other sites

Покупайте "аппаратные" кошельки - говорили они...

Аппаратные кошельки самые надёжные - говорили они...

 

Ню-ню, при всей кривости, колхозности, интерфейсе из 2000-ых и килограммовом блокчейне (лечится прюном) - поделка от Core с защитой паролем самое лучшее решение для серьёзной суммы. Для повседневки Электрум.

 

А эти брелки-дрочилки - стильно-модно-молодёжно, но НИКАКОГО отношения к безопасности не имеют....

Edited by iRybin

Share this post


Link to post
Share on other sites

А насколько страшно если вообще нет носителя для кошешька? Вот я все время смотрю в обозревателе свой кошелек и все боюсь что битки уйдут. Хотя не одним из носителей не воспользовался. Просто сгенерил открытый и закр.ключ(оффлайн) и отправил на кошель несколько транзакций. 

 

Есть конечно и горячие кошельки , но это для удобства если срочно потребовались деньги и их несколько для безопасности.

 

А вот аппаратные даже боюсь покупать. Потерял где и хана ...

Edited by vdanya

Share this post


Link to post
Share on other sites
3 часа назад, vdanya сказал:

А вот аппаратные даже боюсь покупать. Потерял где и хана ...

 

Бекапы нужно делать. Это касается любого кошелька, хоть оффлайнового, хоть аппаратного.

Share this post


Link to post
Share on other sites
11 часов назад, vdanya сказал:

А насколько страшно если вообще нет носителя для кошешька? Вот я все время смотрю в обозревателе свой кошелек и все боюсь что битки уйдут. Хотя не одним из носителей не воспользовался. Просто сгенерил открытый и закр.ключ(оффлайн) и отправил на кошель несколько транзакций. 

 

Есть конечно и горячие кошельки , но это для удобства если срочно потребовались деньги и их несколько для безопасности.

 

А вот аппаратные даже боюсь покупать. Потерял где и хана ...

 

При создании кошелька в аппаратнике генерится сид 24 слова. После этого можешь апаратник утопить в болоте. И по 24 сллвам восстановить сотней способов.

Плюс аппаратника в том что вирусы не смогут с него вытащить ключ. А вот в биткоин коре если попал троян на пк то плакали битки твои

Share this post


Link to post
Share on other sites

Основные пути взлома же - вирус на комьютере жертвы, где обычно стоят кошельки. Там уже ничего не спасет, кроме аппаратника, имхо, который вне устройства. Но при подсоединении тоже могут быть подобные уязвимости.
В общем-то, отдельный ноутбук в офлайн-транзами может и лучше, может и нет. Везде есть нюансы. 
Кто жутко сцыт, можно написать на флешках/бумажках подобно братьям Винелвосс части сида/ключа и разнести по разным местам.
Для средних сумм леджер вполне норм имхо, как минимум. Как один из вариков хранения части денег.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Topics

    • Аппаратный кошелек Ledger Nano S

      Официальный сайт | Исходники | Блог | Twitter | Facebook | Linkedin | YouTube | Roadmap | User guides   В теме действуют все Правила форума! Перед тем как задать вопрос, посмотрите НОВИЧКИ Bits.Media, все сюда. Уважайте своё и чужое время. Для обсуждения и поиска программ/драйверов пользуйтесь разделом Файлы. Сообщения, не относящиеся к теме обсуждения (оффтоп), удаляются без предупреждения.   Полный обзор Ledger Nano S

      in Кошельки для криптовалют

    • Платформа Ledger Live добавила функцию Coin Control

      Компания Ledger, выпускающая аппаратные кошельки, добавила новую функцию Coin Control на свою платформу Ledger Live. С помощью этой функции пользователи смогут выбирать UTXO при создании транзакции. Функция Coin Control работает с биткоином и другими криптовалютами на его основе. Ранее при создании транзакции на платформе Ledger Live в единую транзакцию собирались наиболее старые неизрасходованные выходы транзакций (UTXO). Теперь пользователи смогут выбрать конкретные UTXO, которые они хо

      in Новости криптовалют

    • Аппаратные кошельки Ledger Nano получили поддержку новых активов

      Компания Ledger объявила, что модели аппаратных кошельков Nano X и Nano S получили поддержку новых активов, включая Polkadot (DOT), Kusama (KSM), Solana (SOL), Elastos (ELA) и IOV. Поддержка новых активов стала результатом программы интеграции новых монет, в рамках которой криптовалютные сообщества и разработчики могут создавать новые приложения на базе платформы Ledger Live. Пользователи кошельков смогут установить соответствующие приложения и связать их со сторонними кошельками. При это

      in Новости криптовалют

    • Power Ledger анонсировал запуск платформы на блокчейне для торговли возобновляемой энергией

      Австралийская компания Power Ledger объявила о скором запуске платформы на блокчейне для торговли возобновляемой энергией в Таиланде и Юго-Восточной Азии. Платформа основана на совместных разработках с тайской фирмой BCPG, работающей с возобновляемыми источниками энергии. Один из самых ранних проектов Power Ledger и BCPG тестировался еще в 2018 году, когда фирмы провели пробную сделку по продаже «зеленой» энергии в центральном регионе Бангкока.    Power Ledger продолжила работать

      in Новости криптовалют

    • Как пополнить CPU в кошельке My Eos Wallet

      Долго не пользовался своим кошельком My Eos Wallet. Пытаюсь сделать перевод EOS на биржу. Получаю сообщение:    "Ошибка транзакции Ресурсы CPU исчерпаны для вашего аккаунта Вы можете подождать или пополнить ресурсы в разделе Управление ресурсами EOS"   Окей, лезу в управление ресурсами, добавляю 0,3 EOS (пробовал разное количество от 0,1 до 1) на CPU, жму "применить". Вылазит сообщение:   "Ошибка транзакции Ресурсы CPU исчерпаны для вашего аккаунта".   Пол

      in Кошельки для криптовалют

×
×
  • Create New...