Это не первая проблема производителя аппаратных кошельков за последнее время. В конце июля база данных Ledger стала жертвой атаки хакеров, в результате чего данные о миллионе клиентов компании оказались в руках мошенников. Это создаёт риски физического воздействия на держателей криптовалюты, ведь о некоторых из них также стала известна личная информация по типу места проживания.

Ситуация серьёзная, поэтому сотрудники Ledger сосредоточились на расследовании. При этом уже известно, что выплачивать компенсацию пользователям руководство французской компании не собирается.

кошелек ledger устройство

Кошелёк Ledger

Проблемы аппаратных кошельков Ledger

Нохбе объяснил, что хотя аппаратные кошельки Ledger и поддерживают сразу несколько криптовалют через специализированные приложения для каждой, только одна из них может быть активна для транзакций в единственный момент времени. Но оказалось, что внешние приложения тоже могут получить доступ к данным даже из неактивных криптовалют кошелька.

Вот цитата эксперта, в которой он рассказал о положении дел. Её приводит Decrypt.

Было обнаружено, что для Биткоина и его форков устройство предоставляет свои функции для любого из активов. Другими словами, при разблокированном приложении Litecoin вы можете получить запрос на подтверждение перевода биткоинов, в то время как интерфейс кошелька отобразит его как перевод LTC на Litecoin-адрес.

А вот твит, в котором автор сообщил о существовании проблемы.

То есть в действительности с кошелька пользователя может списать 0.01 BTC, тогда как злоумышленник создал транзакцию, например, на 0.01 LTC. При этом интерфейс кошелька уведомит своего владельца именно о переводе 0.01 LTC, хотя на самом деле он лишится 0.01 BTC. Естественно, за счёт разницы в курсе криптовалют потери могут быть существенные. В частности, сегодня один биткоин оценивается в 11 743 доллара, тогда как LTC стоит 58 долларов.

После обращения Нохбе представители Ledger официально признали проблему. Производитель кошельков объяснил её поддержкой форков Биткоина и других криптовалют, созданных на базе его блокчейна. Вот цитата.

В некоторых форках Биткоина используются те же самые пути вывода (derivation paths), что и в самом BTC. Если их не задействовать, люди просто не смогут использовать кошельки Ledger Nano S/X для работы с такими монетами. Разработчикам придется выбирать между безопасностью и удобством спользования, чтобы средства клиентов не были заблокированы.

Отметим, что разработчики достаточно быстро отреагировали на проблему её фиксом. Если вдруг кто-то попытается использовать уязвимость — то есть создать мнимую транзакцию — кошелек уведомит об этом своего пользователя.

ledger кошелек криптовалюты

Обещанное исправление проблемы уже выпустили — это подтвердил один из представителей Ledger

О релизе программы для Nano S и Nano X также сообщили в Твиттере производителя аппаратных кошельков.

То есть пользователям устройств Ledger стоит обновить приложение Биткоина для безопасного использования монет. Отметим, что речь идёт именно об отдельном приложении BTC внутри кошелька, которое обновляется после подключения леджера. Апдейт программы Ledger Live сейчас недоступен. Представители компании продолжают.

Новая версия Биткоин-приложения показывает предупреждающее сообщение и запрашивает подтверждение при использовании неожиданного пути. В данном случае вам нужно будет подтвердить, что вы понимаете суть происходящего.

Обновление для Ledger Blue тоже готово.

Представителей компании спросили, стоит ли пользователям беспокоиться о биткоинах на их аппаратных кошельках.

Ответ был коротким и ясным.


Напомним, у хакеров и мошенников есть и другие способы для обмана криптоэнтузиастов. Один из самых распространенных — фишинговая атака, в ходе которой злоумышленник выдает себя за другого человека, (например, сотрудника компании) чтобы получить доступ к важной информации от своей жертвы, включая заветную сид-фразу. На фоне последних новостей о взломе баз данных Ledger клиенты компании особенно уязвимы к фишинговым атакам.

К счастью, ситуация и её возможные последствия ликвидированы. Остаётся только вопрос, почему баг не исправили ещё в прошлом году. По предварительным данным, о нём было известно ещё в январе 2019 — а это целых полтора года. Надеемся, что в следующий раз на фиксы будет уходить заметно меньше времени, а необходимости их внедрять и вовсе не будет.

Присоединяйтесь к нашему крипточату для обсуждения новости. Также заглядывайте в Яндекс Дзен за статьями, которых нет на сайте.

ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ БЫТЬ В КУРСЕ.