Беше открита нова уязвимост в устройствата на голям производител на хардуерни портфейли, Ledger, която можеводят до загуба на биткойни (BTC). Освен това един от изследователите твърди, че компанията е знаела за това от няколко месеца. Леджър обаче твърди, че е решил този проблем, като „е избирал между сигурност и използваемост“.
«Хардуерните портфейли на Ledger имат уязвимост, която може да доведе до кражба на потребителски средства», - написа анонимният изследовател Monokh в своя блог.
Според него, нападател може да използва тази уязвимост за прехвърляне на BTC, докато потребителят смята, че изтегля алткойни (например Litecoin (LTC), Bitcoin Cash (BCH) и др.).
«С други думи, като отключите Litecoin, виеЩе получите заявка за потвърждение на BTC трансфера, като в същото време интерфейсът ще отрази това като Litecoin трансфер към LTC адреса. Потвърждението завършва валидна биткойн транзакция«- каза Монох.
Съобщава се също, че уязвимостта може да засегне всеки, който съхранява биткойн вилици на устройства, така че е по-безопасно да изчакате, докато проблемът бъде отстранен.
«Въз основа на опита ми от първияразкриване (19 януари), разбрах, че компанията няма мотивация да сложи край на този проблем“, отбеляза Монох, добавяйки, че Леджър е знаел за проблема много преди това.Не беше постигнат по-нататъшен напредък и исканията за актуализации останаха без отговор.
Леджър не отрича, че са запознати с този проблем, но казват, че "ограничаването на един или повече пътища за всеки тип монети е трудно", защото:
- някои крипто портфейли на софтуер на трети страниизползвайте неправилни пътища за извличане, което е особено важно за създадени по-рано монети, използвайки трети портфейли, базирани на Electrum (LTC, Dogecoin (DOGE), Dash (DASH) и т.н.)
- някои BTC вилици използват същия път на извличане като BTC и ако им е забранено да използват пътя за извличане на BTC, потребителите няма да могат да използват Ledger Nano S / X с тези вилици.
«Трябваше да направим избор междусигурност и лекота на използване, като искат да избегнат ситуация, в която средствата на потребителите ще бъдат блокирани и те няма да могат да ги изразходват. Затова решихме принудително да блокираме пътя в самото биткойн приложение», - каза Леджърът и добави, че потребителят ще получи предупреждение, ако приложение, свързано с биткойн, „се опита да извърши производно по необичаен начин“.
Това обаче не се хареса на общността, мнозина от които отбелязаха, че Леджър признава рисковете, но умишлено игнорира проблема в името на използваемостта.
«Те избраха лекотата на използване пред сигурността», - коментира Reddit потребител Leader92.
Специалисти по хардуерния портфейл на BTChip,филиалът на Ledger отговори, че „са избрали поправка, която не налага налагането на HD път на ниво OS (което е за приложения, които не използват същия код)“.
Дискусия между потребителите на BTChip и Monokhпродължи в Reddit. Междувременно някои крипто ентусиасти вярват, че решението не е да не купувате Ledger, а да не използвате shitcoin.
Някои биха казали „не купувайте счетоводна книга“.
Предпочитам другото решение: Спрете да използвате shitcoins.
Shitcoins правят възможно подобна уязвимост. Това е данъкът Shitcoin, невидимият данък, който трябва да платите, за да го използвате.https: //t.co/OlAM446LLo
- Николай Дорие (@NicolasDorier) 5 август 2020 г.
Изтичането бе съобщено от Леджър миналата седмицаданни, настъпили на 17 юни. В резултат на това според компанията хакерите са получили информация изключително от имейлите и имената на купувачите на устройството.
</ P>Оценете публикацията
Прочетете това:
Критична уязвимост, открита в крипто портфейла на Ledger
Нова версия на приложението Ledger Live 2.0 за хардуерни портфейли
Ledger съобщи за нарушение на данните на милион потребители
Намерени хардуерни портфейли на Trezor Заплашващи BTC загуби
Сериозна уязвимост в аржентинския портфейл
Хардуерните портфейли на Ledger поддържат Algorand