Jump to content

В кошельке Ledger обнаружена уязвимость, приводящая к списанию BTC вместо альткоинов

News Bot
 Share

Recommended Posts

News Bot Продвинутый пользователь

News Bot

Posted
Posted

v_koshelke_ledger_obnaruzhena_uyazvimost_privodyashchaya_k_spisaniyu_btc_vmesto_altkoinov.jpg

 

Разработчик Liquality Мохаммед Нохбех (Mohammed Nokhbeh) обнаружил уязвимость в аппаратном кошельке Ledger, которая приводит к списанию биткоинов вместо альткоинов.

Разработчики представили отчет, в котором рассказали, как действует атака. Злоумышленник создает мнимую транзакцию с любыми альткоинами, во время которой у пользователей списываются биткоины. К примеру, у трейдера может складываться впечатление, что он пересылает 0.01 LTC, но фактически с его кошелька будет отправлено 0.01 BTC.

 

Нохбех добавил, что аппаратные кошельки Ledger поддерживают несколько криптовалют с помощью специализированных приложений отдельно для каждого актива, но активировать можно только одно приложение. Оказалось, что внешние приложения могут получать доступ к данным о других криптовалютах даже из неактивных приложений. Исследователи обнаружили, что при использовании уязвимости, если пользователь открывает приложение для LTC, он получает запрос на подтверждение транзакции с биткоином, даже если не использует этот актив. При этом в интерфейсе будут отображаться данные для совершения сделки с LTC. При подтверждении такого запроса в сети Биткоина будет совершена полноценная подписанная транзакция.

 

По словам разработчиков Liquality, Ledger был уведомлен об этой уязвимости еще в январе прошлого года, однако так и не устранил проблему. Однако Ledger сообщил, что всегда тщательно рассматривает все замечания исследователей. По словам Ledger, разработчики Liquality могли отправить сообщение о выявленных проблемах в другие отделы, которые не занимаются устранением багов. Комментируя отчет Liquality, Ledger признал, что приложение биткоина становится доступным при работе с другими криптоактивами. Производитель кошельков объяснил это поддержкой форков биткоина и других криптовалют, созданных на базе блокчейна Биткоина и имеющих общую историю.

 

 

Подробнее: https://bits.media/v-koshelke-ledger-obnaruzhena-uyazvimost-privodyashchaya-k-spisaniyu-btc-vmesto-altkoinov/

moneymaker Продвинутый пользователь

moneymaker

Posted
Posted

По ощущениям не проходит и квартала как объявляют о новой уязвимости аппаратных кошельков. Интерес к битку растёт.

2
iRybin Продвинутый пользователь

iRybin

Posted
Posted (edited)

Покупайте "аппаратные" кошельки - говорили они...

Аппаратные кошельки самые надёжные - говорили они...

 

Ню-ню, при всей кривости, колхозности, интерфейсе из 2000-ых и килограммовом блокчейне (лечится прюном) - поделка от Core с защитой паролем самое лучшее решение для серьёзной суммы. Для повседневки Электрум.

 

А эти брелки-дрочилки - стильно-модно-молодёжно, но НИКАКОГО отношения к безопасности не имеют....

Edited by iRybin
1
vdanya Продвинутый пользователь

vdanya

Posted
Posted (edited)

А насколько страшно если вообще нет носителя для кошешька? Вот я все время смотрю в обозревателе свой кошелек и все боюсь что битки уйдут. Хотя не одним из носителей не воспользовался. Просто сгенерил открытый и закр.ключ(оффлайн) и отправил на кошель несколько транзакций. 

 

Есть конечно и горячие кошельки , но это для удобства если срочно потребовались деньги и их несколько для безопасности.

 

А вот аппаратные даже боюсь покупать. Потерял где и хана ...

Edited by vdanya
Old Miner Продвинутый пользователь

Old Miner

Posted
Posted
3 часа назад, vdanya сказал:

А вот аппаратные даже боюсь покупать. Потерял где и хана ...

 

Бекапы нужно делать. Это касается любого кошелька, хоть оффлайнового, хоть аппаратного.

1
supreme1 Продвинутый пользователь

supreme1

Posted
Posted
11 часов назад, vdanya сказал:

А насколько страшно если вообще нет носителя для кошешька? Вот я все время смотрю в обозревателе свой кошелек и все боюсь что битки уйдут. Хотя не одним из носителей не воспользовался. Просто сгенерил открытый и закр.ключ(оффлайн) и отправил на кошель несколько транзакций. 

 

Есть конечно и горячие кошельки , но это для удобства если срочно потребовались деньги и их несколько для безопасности.

 

А вот аппаратные даже боюсь покупать. Потерял где и хана ...

 

При создании кошелька в аппаратнике генерится сид 24 слова. После этого можешь апаратник утопить в болоте. И по 24 сллвам восстановить сотней способов.

Плюс аппаратника в том что вирусы не смогут с него вытащить ключ. А вот в биткоин коре если попал троян на пк то плакали битки твои

Sm1ck Новичок

Sm1ck

Posted
Posted

Основные пути взлома же - вирус на комьютере жертвы, где обычно стоят кошельки. Там уже ничего не спасет, кроме аппаратника, имхо, который вне устройства. Но при подсоединении тоже могут быть подобные уязвимости.
В общем-то, отдельный ноутбук в офлайн-транзами может и лучше, может и нет. Везде есть нюансы. 
Кто жутко сцыт, можно написать на флешках/бумажках подобно братьям Винелвосс части сида/ключа и разнести по разным местам.
Для средних сумм леджер вполне норм имхо, как минимум. Как один из вариков хранения части денег.

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.

  • Similar Topics

    • Покупка энергии в кошельке TRX (Rent Energy), продажа (Delegate). Как заработать, продавая энергию в сети Tron?

      @HelberСпасибо! попробую Trust wallet, жаль только что как браузерный довесок какой-то  урезанный. На Тронлинке возможно кто-то морозит троны ради 4,8% годовых. Кстати вроде появилась возможность продавать свою энергию, правда я толком в этом еще не разбирался.   Примечание модератора: все полезные материалы собираем не в первом посте, а в другом, на второй странице. Он же закреплен над данной страницей форума - кликните "Открыть сообщение"   Там теперь будет и список се

      in DeFi, токены

    • Мошенники начали по-новому обманывать владельцев аппаратных кошельков Ledger

      Специалисты французской компании Ledger сообщили о новой схеме, которую злоумышленники используют в попытке обмануть владельцев аппаратных криптокошельков. Неизвестные маскируются под службу поддержки Ledger и рассылают письма и сообщения с требованием срочно установить критическое обновление безопасности. Новая схема эксплуатирует интерес к защите от квантовых атак. Авторы писем утверждают, что присланные ими фишинговые ссылки служат для установки прошивки версии 2.4.1, внедряющей гибридну

      in Новости криптовалют

    • Ledger Nano, аппаратный кошелек

      Официальный сайт | Исходники | Блог | Twitter | Facebook | Linkedin | YouTube | Roadmap | User guides   В теме действуют все Правила форума! Перед тем как задать вопрос, посмотрите НОВИЧКИ Bits.Media, все сюда. Уважайте своё и чужое время. Для обсуждения и поиска программ/драйверов пользуйтесь разделом Файлы. Сообщения, не относящиеся к теме обсуждения (оффтоп), удаляются без предупреждения.   Полный обзор Ledger Nano

      in Кошельки для криптовалют

    • Американский музыкант потерял биткоины из-за поддельного приложения Ledger

      Американский музыкант Гаррет Даттон (Garrett Dutton), известный под псевдонимом G. Love, потерял почти шесть биткоинов после установки поддельного приложения криптокошелька Ledger. Инцидент произошел при настройке аппаратного кошелька на новом компьютере Apple. Даттон искал в App Store приложение Ledger Live, однако по ошибке установил фальшивую версию.   Программа выглядела как оригинальная, но после запуска запросила ввод сид-фразы. Как только музыкант это сделал, злоумышленники пол

      in Новости криптовалют

    • Технический директор Ledger назвал ИИ угрозой криптовалютам

      Искусственный интеллект снижает затраты и упрощает кибератаки на криптоплатформы, считает технический директор производителя аппаратных кошельков Ledger Чарльз Гийеме (Charles Guillemet). Он посоветовал исходить из того, что многие системы в конечном счете окажутся уязвимы. Долгое время безопасность строилась на дисбалансе, рассказал топ-менеджер Ledger: взломать систему должно быть сложнее и дороже, чем потенциальная выгода от взлома. С появлением ИИ задачи, которые раньше требовали месяце

      in Новости криптовалют

Ресурсы

Крипто новости
Мониторинг обменников
Календарь мероприятий
Калькулятор майнинга
Блоги

О Форуме

Правила форума
Администрация
Поиск по форуму
Файлы
Замечания и предложения

Соц.сети

Twitter
Facebook
VKontakte
Telegram
YouTube

Почта

Администратор
Реклама на Bits.media
Редакция Bits.media
Мониторинг обменников
События и мероприятия
×
×
  • Create New...