Производитель аппаратных кошельков Ledger, который в прошлом году продал 1 млн. этих устройств, предупреждает своих пользователей об их уязвимости. Пока сообщений об атаках нет, но компания считает угрозу достаточно реальной. 3 февраля Ledger призвала пользователей аппаратных криптовалютных кошельков предпринять некоторые шаги, чтобы не стать жертвами атак с имитацией адресов.
Аппаратные кошельки считаются одним из самых безопасных способов хранения биткоинов и других криптовалют. USB-устройства холодного хранения исключают векторы атак, связанные с подключением к сети. Однако для отправки средств или передачи адреса получателя устройство должно быть подключено к компьютеру. Вот здесь исследователи и обнаружили уязвимость, которая подвергает опасности работу кошельков Ledger. В недавно опубликованном отчёте говорится, как может происходить MiTM-атака:
Кошельки Ledger генерируют адрес получателя и показывают его на компьютере при помощи кода JavaScript… Вредоносное программное обеспечение может просто заменить код, создающий адрес получателя, в результате чего все депозиты будут отправлены на кошелёк злоумышленника.
Если атака будет совершена, жертва этого даже не заметит. Ситуация осложняется тем, что вредоносное ПО может относительно легко изменить адрес получателя, используя файлы кошелька Ledger, которые находятся в папке AppData. В отчёте говорится, что «вредоносным программам достаточно заменить одну строку кода, а с Python для этого потребуется менее 10 строк».
Компания объяснила в Твиттере, что есть способ проверки правильности адреса получателя: необходимо всегда проверять этот адрес, нажимая кнопку с изображением монитора на экране компьютера или другого устройства.
Это эффективное, но не отказоустойчивое решение, так как оно зависит от поведения пользователя, который должен помнить о процедуре при совершении транзакций. В отчёте также говорится, что «правильным решением было бы заставлять пользователя проверять адрес получателя перед каждой транзакцией — так же, как при одобрении каждой транзакции».
Такой подход теперь используется в аппаратных кошельках Trezor, которые требуют двухфакторной аутентификации (2FA) для доступа к адресу получателя. Скорее всего, Ledger последует этому примеру при обновлении своих устройств. Считается, что использовать аппаратные кошельки безопаснее, чем просто оставлять средства для хранения на централизованной бирже. Однако, как показывает ситуация с Ledger, никакие решения не следует считать полностью надёжными.
В мире, где цифровая экономика становится все более важной, а финансовая безопасность играет ключевую роль,…
Биткоин — это не просто цифровая валюта. Это криптовалюта, которая изменила мир финансов и инвестиций.…
В эпоху цифровой революции криптовалюты становятся неотъемлемой частью мировой финансовой системы. Однако, чтобы в полной…
В современном мире цифровая экономика приобретает все большее значение, и криптовалюты становятся неотъемлемой частью финансовой…
Мир криптовалют продолжает свое стремительное развитие, предоставляя пользователям все более удобные и эффективные инструменты для…
С момента взлета интереса к криптовалютам в России в 2024 году появилась необходимость в обзоре…