В кошельках Ledger обнаружена уязвимость угрожающая потерей BTC

В устройствах крупного производителя аппаратных кошельков Ledger обнаружена новая уязвимость, которая может привести к потере биткоинов (BTC). Причём один из исследователей утверждает, компания знала об этом на протяжении нескольких месяцев. Впрочем, в Ledger утверждают, что уже решили эту проблему, «делая выбор между безопасностью и удобством использования».

«В аппаратных кошельках Ledger есть уязвимость, которая может привести к краже средств пользователей», — написал анонимный исследователь Монох (Monokh) в своём блоге.

По его словам, злоумышленник может использовать эту уязвимость для перевода BTC, в то время как пользователь думает, что выводит альткоины (например, Litecoin (LTC), Bitcoin Cash (BCH) и пр).

«Другими словами, разблокируя Litecoin, вы получите запрос на подтверждение BTC-перевода, в то же время интерфейс отразит это как перевод Litecoin на LTC-адрес. Подтверждение завершает действительную биткоин-транзакцию«, — сказал Монох.

Также сообщается, что уязвимость может затронуть всех, кто хранит на устройствах форки биткоина, поэтому безопаснее дождаться устранения проблемы.

«Основываясь на моём опыте с момента первого раскрытия информации (19 января), я понял, что у компании нет мотивации доводить эту проблему до конца, — заметил Монох, добавив, что в Ledger знали о проблеме задолго до этого. Никакого дальнейшего прогресса не наблюдалось, и запросы на обновление остались без ответа».

В Ledger не отрицают того, что осведомлены об этой проблеме, однако сообщили, что «наложение ограничения на один или несколько путей для каждого типа монет — сложная задача», потому что:

  • некоторые сторонние программные крипто-кошельки используют неправильные пути деривации, что особенно важно для ранее созданных монет, использующих сторонние кошельки на основе Electrum (LTC, Dogecoin (DOGE), Dash (DASH) и т.д.)
  • некоторые форки BTC используют тот же путь деривации, что и BTC, и если им запрещено использовать путь деривации BTC, пользователи не смогут использовать Ledger Nano S/X с этими форками.

«Нам пришлось сделать выбор между безопасностью и удобством использования, желая избежать ситуации, когда средства пользователей будут заблокированы, и они не смогут их потратить. Поэтому мы решили принудительно заблокировать путь в самом биткоин-приложении», — заявили в Ledger, добавив, что пользователь получит предупреждение, если приложение, связанное с биткоином, «попытается выполнить деривацию по необычному пути».

Однако это не понравилось сообществу, многие из которых отметили, что в Ledger признают риски, но намеренно игнорирует проблему ради удобства использования монет.

«Они предпочли удобство использования, а не безопасность», — прокомментировал пользователь Reddit Leader92.

Специалисты аппаратного кошелька BTChip, аффилированного с Ledger, ответили, что «выбрали способ исправления, который не вводит принудительное использование пути HD на уровне ОС (что сделано для приложений, которые не используют один и тот же код)».

Обсуждение между пользователями BTChip и Monokh продолжилось на Reddit. Между тем некоторые криптоэнтузиасты считают, что решение заключается не в том, чтобы не покупать Ledger, а в том, чтобы не использовать шиткоины.

На прошлой неделе в Ledger сообщили об утечке данных, которая произошла 17 июня. В результате, по заявлению компании, хакеры получили информацию исключительно по емейлам и именам покупателей устройств.

По информации портала Mining-Сryptocurrency.ru

Добавить комментарий