Рубрика: Технологии

Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах

Производитель аппаратных кошельков Ledger, который в прошлом году продал 1 млн. этих устройств, предупреждает своих пользователей об их уязвимости. Пока сообщений об атаках нет, но компания считает угрозу достаточно реальной. 3 февраля Ledger призвала пользователей аппаратных криптовалютных кошельков предпринять некоторые шаги, чтобы не стать жертвами атак с имитацией адресов.

Аппаратные кошельки считаются одним из самых безопасных способов хранения биткоинов и других криптовалют. USB-устройства холодного хранения исключают векторы атак, связанные с подключением к сети. Однако для отправки средств или передачи адреса получателя устройство должно быть подключено к компьютеру. Вот здесь исследователи и обнаружили уязвимость, которая подвергает опасности работу кошельков Ledger. В недавно опубликованном отчёте говорится, как может происходить MiTM-атака:

Кошельки Ledger генерируют адрес получателя и показывают его на компьютере при помощи кода JavaScript… Вредоносное программное обеспечение может просто заменить код, создающий адрес получателя, в результате чего все депозиты будут отправлены на кошелёк злоумышленника.

Если атака будет совершена, жертва этого даже не заметит. Ситуация осложняется тем, что вредоносное ПО может относительно легко изменить адрес получателя, используя файлы кошелька Ledger, которые находятся в папке AppData. В отчёте говорится, что «вредоносным программам достаточно заменить одну строку кода, а с Python для этого потребуется менее 10 строк».

Компания объяснила в Твиттере, что есть способ проверки правильности адреса получателя: необходимо всегда проверять этот адрес, нажимая кнопку с изображением монитора на экране компьютера или другого устройства.

Это эффективное, но не отказоустойчивое решение, так как оно зависит от поведения пользователя, который должен помнить о процедуре при совершении транзакций. В отчёте также говорится, что «правильным решением было бы заставлять пользователя проверять адрес получателя перед каждой транзакцией — так же, как при одобрении каждой транзакции».

Такой подход теперь используется в аппаратных кошельках Trezor, которые требуют двухфакторной аутентификации (2FA) для доступа к адресу получателя. Скорее всего, Ledger последует этому примеру при обновлении своих устройств. Считается, что использовать аппаратные кошельки безопаснее, чем просто оставлять средства для хранения на централизованной бирже. Однако, как показывает ситуация с Ledger, никакие решения не следует считать полностью надёжными.

Источник

[ ОБСУДИТЬ НА ФОРУМЕ ]

Coinspot

Недавние сообщения

Как это устроено: блокчейн – принцип работы, сферы применения и перспективы

Блокчейн сегодня прочно занял место в цифровой экономике и стал неотъемлемой частью финансового и технологического…

4 недели тому назад

Мемкоины: от шуток в интернете до многомиллиардного рынка

Криптовалюты давно стали частью финансового мира, однако не все активы этого цифрового пространства имеют серьезное…

2 месяца тому назад

Как это устроено: MicroBT Whatsminer M60S+ 200 TH/s

В последние годы майнинг криптовалют становится все более сложной и высококонкурентной деятельностью. Постоянно появляются новые…

3 месяца тому назад

Обучение трейдингу криптовалют: назначение, возможности и советы экспертов

Криптовалюты стали неотъемлемой частью современного финансового рынка, привлекая внимание не только инвесторов, но и новичков,…

3 месяца тому назад

Знакомьтесь, Стейблкоин: стабильность в мире криптовалют

В эпоху цифровой экономики и стремительного развития криптовалют стейблкоины становятся важным элементом финансовой экосистемы. Эти…

4 месяца тому назад

Как это работает: изучение английского языка по аудиокнигам

Тем, кто только начал изучать английский язык, важно понять основы: это грамматика, лексика и произношение.…

4 месяца тому назад