В кошельках Ledger найдена уязвимость, из-за которой можно потратить биткоины вместо альткоинов

В аппаратных кошельках Ledger есть уязвимость, которая может привести к потере биткоинов, утверждает разработчик Liquality Мухаммед Нохбе. Вкратце: злоумышленник создает транзакцию, которая очень похожа на перевод альткоина, однако вместо этого она приведет к переводу BTC с кошелька жертвы. Что самое интересное, уязвимость была обнаружена ещё в 2019 году, однако в Ledger почему-то не спешили с её исправлением.

Это не первая проблема производителя аппаратных кошельков за последнее время. В конце июля база данных Ledger стала жертвой атаки хакеров, в результате чего данные о миллионе клиентов компании оказались в руках мошенников. Это создаёт риски физического воздействия на держателей криптовалюты, ведь о некоторых из них также стала известна личная информация по типу места проживания. Ситуация серьёзная, поэтому сотрудники Ledger сосредоточились на расследовании. При этом уже известно, что выплачивать компенсацию пользователям руководство французской компании не собирается.

Кошелёк Ledger

Проблемы аппаратных кошельков Ledger

Нохбе объяснил, что хотя аппаратные кошельки Ledger и поддерживают сразу несколько криптовалют через специализированные приложения для каждой, только одна из них может быть активна для транзакций в единственный момент времени. Но оказалось, что внешние приложения тоже могут получить доступ к данным даже из неактивных криптовалют кошелька.

Вот цитата эксперта, в которой он рассказал о положении дел. Её приводит Decrypt.

Было обнаружено, что для Биткоина и его форков устройство предоставляет свои функции для любого из активов. Другими словами, при разблокированном приложении Litecoin вы можете получить запрос на подтверждение перевода биткоинов, в то время как интерфейс кошелька отобразит его как перевод LTC на Litecoin-адрес.

А вот твит, в котором автор сообщил о существовании проблемы.

https://t.co/Yahqqvstue
— Mo (@mo_nokh) August 4, 2020

То есть в действительности с кошелька пользователя может списать 0.01 BTC, тогда как злоумышленник создал транзакцию, например, на 0.01 LTC. При этом интерфейс кошелька уведомит своего владельца именно о переводе 0.01 LTC, хотя на самом деле он лишится 0.01 BTC. Естественно, за счёт разницы в курсе криптовалют потери могут быть существенные. В частности, сегодня один биткоин оценивается в 11 743 доллара, тогда как LTC стоит 58 долларов.

После обращения Нохбе представители Ledger официально признали проблему. Производитель кошельков объяснил её поддержкой форков Биткоина и других криптовалют, созданных на базе его блокчейна. Вот цитата.

В некоторых форках Биткоина используются те же самые пути вывода (derivation paths), что и в самом BTC. Если их не задействовать, люди просто не смогут использовать кошельки Ledger Nano S/X для работы с такими монетами. Разработчикам придется выбирать между безопасностью и удобством спользования, чтобы средства клиентов не были заблокированы.

Отметим, что разработчики достаточно быстро отреагировали на проблему её фиксом. Если вдруг кто-то попытается использовать уязвимость — то есть создать мнимую транзакцию — кошелек уведомит об этом своего пользователя.

Обещанное исправление проблемы уже выпустили — это подтвердил один из представителей Ledger

О релизе программы для Nano S и Nano X также сообщили в Твиттере производителя аппаратных кошельков.

The Bitcoin app that fixes the issue in Bitcoin derivative apps is available — for Nano X and Nano S. You can update your app on Ledger Live now.
— Ledger (@Ledger) August 5, 2020

То есть пользователям устройств Ledger стоит обновить приложение Биткоина для безопасного использования монет. Отметим, что речь идёт именно об отдельном приложении BTC внутри кошелька, которое обновляется после подключения леджера. Апдейт программы Ledger Live сейчас недоступен. Представители компании продолжают.

Новая версия Биткоин-приложения показывает предупреждающее сообщение и запрашивает подтверждение при использовании неожиданного пути. В данном случае вам нужно будет подтвердить, что вы понимаете суть происходящего.

This new version of the Bitcoin app displays a warning message and prompt for confirmation when an unexpected path is used — you’ll have to confirm that you’re aware
— Ledger (@Ledger) August 5, 2020

Обновление для Ledger Blue тоже готово.

We forgot Ledger Blue, the update is live as well.
— Ledger (@Ledger) August 5, 2020

Представителей компании спросили, стоит ли пользователям беспокоиться о биткоинах на их аппаратных кошельках.

Should i worry about my BITCOINS stored on my NANO S
— Mahmoud Eltir (@modytrr) August 5, 2020

Ответ был коротким и ясным.

No
— Ledger (@Ledger) August 5, 2020

Напомним, у хакеров и мошенников есть и другие способы для обмана криптоэнтузиастов. Один из самых распространенных — фишинговая атака, в ходе которой злоумышленник выдает себя за другого человека, (например, сотрудника компании) чтобы получить доступ к важной информации от своей жертвы, включая заветную сид-фразу. На фоне последних новостей о взломе баз данных Ledger клиенты компании особенно уязвимы к фишинговым атакам. К счастью, ситуация и её возможные последствия ликвидированы. Остаётся только вопрос, почему баг не исправили ещё в прошлом году. По предварительным данным, о нём было известно ещё в январе 2019 — а это целых полтора года. Надеемся, что в следующий раз на фиксы будет уходить заметно меньше времени, а необходимости их внедрять и вовсе не будет.

Присоединяйтесь к нашему крипточату для обсуждения новости. Также заглядывайте в Яндекс Дзен за статьями, которых нет на сайте.

ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ БЫТЬ В КУРСЕ.