В кошельках Ledger обнаружена уязвимость угрожающая потерей BTC
В устройствах крупного производителя аппаратных кошельков Ledger обнаружена новая уязвимость, которая может привести к потере биткоинов (BTC). Причём один из исследователей утверждает, компания знала об этом на протяжении нескольких месяцев. Впрочем, в Ledger утверждают, что уже решили эту проблему, «делая выбор между безопасностью и удобством использования».
«В аппаратных кошельках Ledger есть уязвимость, которая может привести к краже средств пользователей», — написал анонимный исследователь Монох (Monokh) в своём блоге.
По его словам, злоумышленник может использовать эту уязвимость для перевода BTC, в то время как пользователь думает, что выводит альткоины (например, Litecoin (LTC), Bitcoin Cash (BCH) и пр).
«Другими словами, разблокируя Litecoin, вы получите запрос на подтверждение BTC-перевода, в то же время интерфейс отразит это как перевод Litecoin на LTC-адрес. Подтверждение завершает действительную биткоин-транзакцию«, — сказал Монох.
Также сообщается, что уязвимость может затронуть всех, кто хранит на устройствах форки биткоина, поэтому безопаснее дождаться устранения проблемы.
«Основываясь на моём опыте с момента первого раскрытия информации (19 января), я понял, что у компании нет мотивации доводить эту проблему до конца, — заметил Монох, добавив, что в Ledger знали о проблеме задолго до этого. Никакого дальнейшего прогресса не наблюдалось, и запросы на обновление остались без ответа».
В Ledger не отрицают того, что осведомлены об этой проблеме, однако сообщили, что «наложение ограничения на один или несколько путей для каждого типа монет — сложная задача», потому что:
- некоторые сторонние программные крипто-кошельки используют неправильные пути деривации, что особенно важно для ранее созданных монет, использующих сторонние кошельки на основе Electrum (LTC, Dogecoin (DOGE), Dash (DASH) и т.д.)
- некоторые форки BTC используют тот же путь деривации, что и BTC, и если им запрещено использовать путь деривации BTC, пользователи не смогут использовать Ledger Nano S/X с этими форками.
«Нам пришлось сделать выбор между безопасностью и удобством использования, желая избежать ситуации, когда средства пользователей будут заблокированы, и они не смогут их потратить. Поэтому мы решили принудительно заблокировать путь в самом биткоин-приложении», — заявили в Ledger, добавив, что пользователь получит предупреждение, если приложение, связанное с биткоином, «попытается выполнить деривацию по необычному пути».
Однако это не понравилось сообществу, многие из которых отметили, что в Ledger признают риски, но намеренно игнорирует проблему ради удобства использования монет.
«Они предпочли удобство использования, а не безопасность», — прокомментировал пользователь Reddit Leader92.
Специалисты аппаратного кошелька BTChip, аффилированного с Ledger, ответили, что «выбрали способ исправления, который не вводит принудительное использование пути HD на уровне ОС (что сделано для приложений, которые не используют один и тот же код)».
Обсуждение между пользователями BTChip и Monokh продолжилось на Reddit. Между тем некоторые криптоэнтузиасты считают, что решение заключается не в том, чтобы не покупать Ledger, а в том, чтобы не использовать шиткоины.
На прошлой неделе в Ledger сообщили об утечке данных, которая произошла 17 июня. В результате, по заявлению компании, хакеры получили информацию исключительно по емейлам и именам покупателей устройств.
По информации портала Mining-Сryptocurrency.ru
- Крупные держатели Ethereum переместили $357 млн всего за несколько минут - 14.03.2023
- Биткоин и эфир прибавляют на фоне активизации азиатских и европейских трейдеров - 14.03.2023
- Glassnode выпустили индикатор, определяющий пики и дно биткоина - 13.03.2023
- Нигерия задействует технологию блокчейн в модернизации банковского сектора - 13.03.2023
- Гендиректор Messari призывает инвесторов покупать биткоины - 13.03.2023