Ledger: инструмент для небезопасного хранения и передачи валют (или как с ним потерять деньги)

Ledger: инструмент для небезопасного хранения и передачи валют (или как с ним потерять деньги)

6 января 2024 г.

Привет читателям. Полагаю, если вы читаете эту статью, вы каким-то образом связаны с криптовалютами. Или слышали о Леджере. Я надеюсь, что эта статья поможет вам оставаться в безопасности. В конце концов, сам Ledger не беспокоится о безопасности криптоактивов своих пользователей.

Я опишу свою ситуацию, как я потерял 100 тысяч долларов США благодаря уникальному безопасному приложению Ledger Live (официальное мобильное приложение).

«Самый разумный способ защитить вашу криптовалюту» — гласит слоган на их официальном сайте.

«Нам доверяют более 6 миллионов клиентов» — и значительное количество пользователей в сфере криптографии».

Я не могу судить, насколько безопасен сам кошелек. Я использую Ledger Nano X. И если верить их сайту, это самый популярный кошелек в их арсенале.

Companion  for hackers

Итак, начнем. Кстати, инцидент произошел всего через несколько дней после взлома их Ledger Kit. Неудивительно, ведь безопасность для них далеко не главный приоритет.

Но моя история об их Ledger Live — «дополнительном криптографическом приложении для ваших устройств Ledger».

Единственный вопрос: это компаньон для пользователей или, скорее, для хакеров?

Дело в том, что мне нужно было перевести 140 тысяч долларов США на один из моих адресов. Я решил сделать это в два этапа: сначала перевел 40К, а потом планировал перевести оставшиеся 100К. К моему удивлению, транзакция на сумму 100 000 долларов США не прошла и застряла в приложении с желтым статусом «Отправка» - 100 000 долларов США.

Sending status of scam transaction (Sorry for Russian lang on the screens)

Моей первой мыслью было: «Может быть, TRX недостаточно для оплаты комиссии за транзакцию», поскольку каждая транзакция в Ledger Live сопровождается раздражающим сообщением «Энергия ниже, чем необходимо». Вы можете заплатить комиссионные до 50 TRX». Эта так называемая энергия зарабатывается путем размещения ставок на TRX. Платежи комиссий в сети Tron могут осуществляться либо с использованием этой энергии, либо с использованием токена TRX. Зачем пользователю постоянно нужно видеть информацию об энергии, когда он планирует использовать TRX для оплаты газа, непонятно. Но это не имеет значения.

Затем я пополнил свой TRX, вернулся и совершил фатальную ошибку. Конечно, если бы создатели действительно заботились о безопасности, они бы внесли в приложение ряд изменений, о которых я напишу позже.

Я нажал на транзакцию, которая застряла со статусом «Отправка» и суммой -100 000 долларов США.

Кто бы мог подумать, что такая транзакция в моем личном кабинете – на самом деле не моя? Естественно, я увидел начало и конец адреса, совпадающего с моим, но середину адреса не проверял.

«Это у меня в личном кабинете, со статусом Отправка», — подумал я. И в то же время мне пришло в голову: «Разве не существуют вирусы, которые выгружают данные из буфера обмена?»

Сравнил скопированный адрес с тем, который вставил - все хорошо. Только я не знал, что мошеннические транзакции на мой кошелек могут отображаться в личном кабинете. Особенно со статусом «Отправка».

И как вы могли догадаться, друзья, я подтвердил транзакцию и подарил какому-то хакеру 100 тысяч долларов США. Через несколько секунд они уже прошли через миксер.

Stolen USDT's path

"Do scam transactions often appear in our history? Then let people have the ability to copy addresses."

Мой желаемый адрес для вывода: TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (на всякий случай заменил середину нулями)

Адрес мошенничества: TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX

Идентификатор передачи: 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5

Ledger, будучи настолько внимательным, не только отображает мошеннические транзакции, но и помогает легко копировать адреса из истории. Всего через пару часов заголовок транзакции «Отправка» и -100 000 USDT исчезли. Сделка стала фиктивной. Очень интересный случай.

Баллы

Итак, в чем же смысл этой статьи? В мире много мошенников, а в криптосфере их число бесчисленно. Это рай для хакеров, мошенников, воров. Я считаю Ledger безответственной компанией. И теперь я понимаю, почему многие после использования Ledger отказываются от его использования. В Интернете полно видео, где люди выбрасывают его в мусор.

И как вы понимаете, подобные случаи случаются с людьми достаточно часто. Может ли Леджер предпринять шаги для устранения этих недостатков безопасности? Конечно. Но почему-то этого не делают. Возможно, им это невыгодно?

Почему бы им не предпринять следующие шаги:

1. Убрать возможность копирования адресов из истории транзакций (самый простой метод).

2. Добавьте фильтрацию адресов.

3. Выделите мошеннические транзакции (как это делают многие исследователи и сервисы).

4. Добавить список одобренных адресов (где пользователь добавляет «Белые адреса», аналогичные биржам и другим платформам. При отправке на адрес вне этого списка должно появиться окно подтверждения, где адрес пишется крупным шрифтом с указанием, что «The адреса нет в вашем списке одобренных адресов, поэтому рекомендуется тщательно его проверить.

5. Для частого взаимодействия с одним и тем же адресом — добавьте его в список часто используемых адресов.

Вместо этого в приложении есть много рекламы о различных вариантах ставок, реферальных системах и многом другом.

Служба поддержки Ledger называет это «отравлением адреса» (отравление адреса). Это очень популярная вещь.

Вот ссылка на их статью, которая последний раз обновлялась в августе 2023 года. Почти 5 С тех пор прошли месяцы, а компания не предприняла никаких шагов по устранению уязвимостей.

Вот еще одна их статья, в которой их архитектор программного обеспечения описывает процесс отравления адресов. Но там указано, что злоумышленники используют токены Transfer с нулевой суммой с адресов людей. Предположительно, Ledger постоянно совершенствует свою систему противодействия. Но в моем случае передача была вовсе не нулевой. Она точно соответствовала сумме перевода.

Разумеется, в ответном письме поддержка прикрепила ссылку на пользовательское соглашение . Естественно, он содержит оговорку со стороны компании, а также перекладывает всю ответственность на пользователя. Поэтому, если в приложении Ledger Live вы увидите окно с надписью «Вот ваш адрес для отправки средств», где компания вставляет свой собственный адрес для отправки средств — это ваша и только ваша ответственность, что вы не проверили дважды. Неважно, что написано в приложении.

Свой случай считаю абсолютно аналогичным - в приложении была отмечена мошенническая транзакция:

  • со статусом ожидания,
  • сумма соответствующей транзакции — 100 000 долларов США.

Подавляющее большинство пользователей сочтут эту транзакцию отправленной с их адреса и подумают, что она находится в очереди на выполнение (или не выполнена).

И наконец. О каком широком распространении продукта может идти речь? По их мнению, каждый, кто им пользуется, знает или должен знать об Address Poisoning. Надеюсь, после моей статьи вы перестанете использовать Ledger. А если вы только обдумывали это, то откажетесь от этой идеи.

Возьмем, к примеру, мобильный банкинг. Если вы выбираете кого-то из своего списка контактов и переводите ему деньги - может ли возникнуть ситуация, когда приложение банка покажет чужие данные с этими учетными данными? Планирую подать в суд на компанию и подать жалобу в контролирующие органы. Такого беззакония быть не должно. Либо им следует позаботиться о безопасности своего финансового приложения, либо им следует заплатить штрафы и уйти играть в песочницу.

P.S.: Спасибо, что читаете! Будьте внимательны и осторожны при отправке транзакций. И делать выбор в пользу тех сервисов и компаний, которые заинтересованы в безопасности своего сервиса и работают на благо клиентов.

Для меня Ledger — пример компании, которая совершенно безответственна и закрывает глаза на подобные проблемы. Постоянные взломы их сервисов и потери клиентов (Ledger Kit). Моя цель — распространить этот кейс на максимально широкую аудиторию, чтобы каждый узнал об отношении компании к своим клиентам.


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE