Оффлайн
- Регистрация
- 21.07.20
- Сообщения
- 40.408
- Реакции
- 1
- Репутация
- 0
Биткоины вместо альткоинов: в Ledger найдена критическая уязвимость
06.08.2020 Alex Kondratyuk
#Ledger#аппаратные кошельки#уязвимости
Специалист по блокчейн-безопасности Мохаммад Нохбех обнаружил потенциальные риски в аппаратном кошельке Ledger. Злоумышленник может создать транзакцию, которая вместо альткоина приведет к списанию первой криптовалюты.
«Организатор атаки может воспользоваться этим методом для перевода биткоина. В это время у пользователя возникнет впечатление, что осуществляется транзакция другого, менее ценного альткоина (Litecoin (LTC), Bitcoin Cash (BCH) и других)», — заметил Нохбех.
Иными словами, пользователь может отправить 0,01 BTC с полной уверенностью, что он указал 0,01 в LTC.
Для поддержки альткоинов пользователю в Ledger необходимо установить для каждого актива отдельное приложение. Из них активным в определенный момент может быть только одно. Нохбех обнаружил, что у злоумышленников есть возможность обращения к приложениям, находящихся в неактивном состоянии.
Разблокировка позволяет запрашивать различные функции:
«Было обнаружено, что для биткоина и его форков устройство предоставляет функции при работе с любым активом. Разблокировав приложение для Litecoin, вы получите запрос на подтверждение перевода BTC, в то время как интерфейс будет отображать перевод и адрес LTC. При подтверждении запроса будет отправлена полностью действительная подписанная транзакция в основной сети биткоина», — указал Нохбех.
Нохбех рекомендует до появления обновлений отключить приложения альткоинов в каталоге Ledger Live.
Эксперт подчеркнул, что сообщил о найденной уязвимости специалистам компании, но в течение трехмесячного срока она так и не была устранена.
В Ledger признали наличие проблемы и пообещали выпустить апдейт, который внедрит отображение предупреждения о выявлении нестандартного пути осуществления транзакции. Они отметили, что блокировка может решить эту проблему, однако это может привести к заморозке активов пользователей, которые ими больше не смогут воспользоваться.
Напомним, недавно Ledger сообщил об утечке персональных данных миллиона пользователей из-за найденной уязвимости.
Подписывайтесь на новости ForkLog в Facebook!
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER
06.08.2020 Alex Kondratyuk
#Ledger#аппаратные кошельки#уязвимости
Специалист по блокчейн-безопасности Мохаммад Нохбех обнаружил потенциальные риски в аппаратном кошельке Ledger. Злоумышленник может создать транзакцию, которая вместо альткоина приведет к списанию первой криптовалюты.
«Организатор атаки может воспользоваться этим методом для перевода биткоина. В это время у пользователя возникнет впечатление, что осуществляется транзакция другого, менее ценного альткоина (Litecoin (LTC), Bitcoin Cash (BCH) и других)», — заметил Нохбех.
Иными словами, пользователь может отправить 0,01 BTC с полной уверенностью, что он указал 0,01 в LTC.
Для поддержки альткоинов пользователю в Ledger необходимо установить для каждого актива отдельное приложение. Из них активным в определенный момент может быть только одно. Нохбех обнаружил, что у злоумышленников есть возможность обращения к приложениям, находящихся в неактивном состоянии.
Разблокировка позволяет запрашивать различные функции:
- экспорт открытых ключей;
- подписывание сообщений;
- подтверждение транзакций.
«Было обнаружено, что для биткоина и его форков устройство предоставляет функции при работе с любым активом. Разблокировав приложение для Litecoin, вы получите запрос на подтверждение перевода BTC, в то время как интерфейс будет отображать перевод и адрес LTC. При подтверждении запроса будет отправлена полностью действительная подписанная транзакция в основной сети биткоина», — указал Нохбех.
Нохбех рекомендует до появления обновлений отключить приложения альткоинов в каталоге Ledger Live.
Эксперт подчеркнул, что сообщил о найденной уязвимости специалистам компании, но в течение трехмесячного срока она так и не была устранена.
В Ledger признали наличие проблемы и пообещали выпустить апдейт, который внедрит отображение предупреждения о выявлении нестандартного пути осуществления транзакции. Они отметили, что блокировка может решить эту проблему, однако это может привести к заморозке активов пользователей, которые ими больше не смогут воспользоваться.
Напомним, недавно Ledger сообщил об утечке персональных данных миллиона пользователей из-за найденной уязвимости.
Подписывайтесь на новости ForkLog в Facebook!
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER