Ledger: инструмент для небезопасного хранения и передачи валют (или как с ним потерять деньги)
6 января 2024 г.Привет читателям. Полагаю, если вы читаете эту статью, вы каким-то образом связаны с криптовалютами. Или слышали о Леджере. Я надеюсь, что эта статья поможет вам оставаться в безопасности. В конце концов, сам Ledger не беспокоится о безопасности криптоактивов своих пользователей.
Я опишу свою ситуацию, как я потерял 100 тысяч долларов США благодаря уникальному безопасному приложению Ledger Live (официальное мобильное приложение).
«Самый разумный способ защитить вашу криптовалюту» — гласит слоган на их официальном сайте.
«Нам доверяют более 6 миллионов клиентов» — и значительное количество пользователей в сфере криптографии».
Я не могу судить, насколько безопасен сам кошелек. Я использую Ledger Nano X. И если верить их сайту, это самый популярный кошелек в их арсенале.
Итак, начнем. Кстати, инцидент произошел всего через несколько дней после взлома их Ledger Kit. Неудивительно, ведь безопасность для них далеко не главный приоритет.
Но моя история об их Ledger Live — «дополнительном криптографическом приложении для ваших устройств Ledger».
Единственный вопрос: это компаньон для пользователей или, скорее, для хакеров?
Дело в том, что мне нужно было перевести 140 тысяч долларов США на один из моих адресов. Я решил сделать это в два этапа: сначала перевел 40К, а потом планировал перевести оставшиеся 100К. К моему удивлению, транзакция на сумму 100 000 долларов США не прошла и застряла в приложении с желтым статусом «Отправка» - 100 000 долларов США.
Моей первой мыслью было: «Может быть, TRX недостаточно для оплаты комиссии за транзакцию», поскольку каждая транзакция в Ledger Live сопровождается раздражающим сообщением «Энергия ниже, чем необходимо». Вы можете заплатить комиссионные до 50 TRX». Эта так называемая энергия зарабатывается путем размещения ставок на TRX. Платежи комиссий в сети Tron могут осуществляться либо с использованием этой энергии, либо с использованием токена TRX. Зачем пользователю постоянно нужно видеть информацию об энергии, когда он планирует использовать TRX для оплаты газа, непонятно. Но это не имеет значения.
Затем я пополнил свой TRX, вернулся и совершил фатальную ошибку. Конечно, если бы создатели действительно заботились о безопасности, они бы внесли в приложение ряд изменений, о которых я напишу позже.
Я нажал на транзакцию, которая застряла со статусом «Отправка» и суммой -100 000 долларов США.
Кто бы мог подумать, что такая транзакция в моем личном кабинете – на самом деле не моя? Естественно, я увидел начало и конец адреса, совпадающего с моим, но середину адреса не проверял.
«Это у меня в личном кабинете, со статусом Отправка», — подумал я. И в то же время мне пришло в голову: «Разве не существуют вирусы, которые выгружают данные из буфера обмена?»
Сравнил скопированный адрес с тем, который вставил - все хорошо. Только я не знал, что мошеннические транзакции на мой кошелек могут отображаться в личном кабинете. Особенно со статусом «Отправка».
И как вы могли догадаться, друзья, я подтвердил транзакцию и подарил какому-то хакеру 100 тысяч долларов США. Через несколько секунд они уже прошли через миксер.
Мой желаемый адрес для вывода: TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (на всякий случай заменил середину нулями)
Адрес мошенничества: TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX
Идентификатор передачи: 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5
Ledger, будучи настолько внимательным, не только отображает мошеннические транзакции, но и помогает легко копировать адреса из истории. Всего через пару часов заголовок транзакции «Отправка» и -100 000 USDT исчезли. Сделка стала фиктивной. Очень интересный случай.
Баллы
Итак, в чем же смысл этой статьи? В мире много мошенников, а в криптосфере их число бесчисленно. Это рай для хакеров, мошенников, воров. Я считаю Ledger безответственной компанией. И теперь я понимаю, почему многие после использования Ledger отказываются от его использования. В Интернете полно видео, где люди выбрасывают его в мусор.
И как вы понимаете, подобные случаи случаются с людьми достаточно часто. Может ли Леджер предпринять шаги для устранения этих недостатков безопасности? Конечно. Но почему-то этого не делают. Возможно, им это невыгодно?
Почему бы им не предпринять следующие шаги:
1. Убрать возможность копирования адресов из истории транзакций (самый простой метод).
2. Добавьте фильтрацию адресов.
3. Выделите мошеннические транзакции (как это делают многие исследователи и сервисы).
4. Добавить список одобренных адресов (где пользователь добавляет «Белые адреса», аналогичные биржам и другим платформам. При отправке на адрес вне этого списка должно появиться окно подтверждения, где адрес пишется крупным шрифтом с указанием, что «The адреса нет в вашем списке одобренных адресов, поэтому рекомендуется тщательно его проверить.
5. Для частого взаимодействия с одним и тем же адресом — добавьте его в список часто используемых адресов.
Вместо этого в приложении есть много рекламы о различных вариантах ставок, реферальных системах и многом другом.
Служба поддержки Ledger называет это «отравлением адреса» (отравление адреса). Это очень популярная вещь.
Вот ссылка на их статью, которая последний раз обновлялась в августе 2023 года. Почти 5 С тех пор прошли месяцы, а компания не предприняла никаких шагов по устранению уязвимостей.
Вот еще одна их статья, в которой их архитектор программного обеспечения описывает процесс отравления адресов. Но там указано, что злоумышленники используют токены Transfer с нулевой суммой с адресов людей. Предположительно, Ledger постоянно совершенствует свою систему противодействия. Но в моем случае передача была вовсе не нулевой. Она точно соответствовала сумме перевода.
Разумеется, в ответном письме поддержка прикрепила ссылку на пользовательское соглашение . Естественно, он содержит оговорку со стороны компании, а также перекладывает всю ответственность на пользователя. Поэтому, если в приложении Ledger Live вы увидите окно с надписью «Вот ваш адрес для отправки средств», где компания вставляет свой собственный адрес для отправки средств — это ваша и только ваша ответственность, что вы не проверили дважды. Неважно, что написано в приложении.
Свой случай считаю абсолютно аналогичным - в приложении была отмечена мошенническая транзакция:
- со статусом ожидания,
- сумма соответствующей транзакции — 100 000 долларов США.
Подавляющее большинство пользователей сочтут эту транзакцию отправленной с их адреса и подумают, что она находится в очереди на выполнение (или не выполнена).
И наконец. О каком широком распространении продукта может идти речь? По их мнению, каждый, кто им пользуется, знает или должен знать об Address Poisoning. Надеюсь, после моей статьи вы перестанете использовать Ledger. А если вы только обдумывали это, то откажетесь от этой идеи.
Возьмем, к примеру, мобильный банкинг. Если вы выбираете кого-то из своего списка контактов и переводите ему деньги - может ли возникнуть ситуация, когда приложение банка покажет чужие данные с этими учетными данными? Планирую подать в суд на компанию и подать жалобу в контролирующие органы. Такого беззакония быть не должно. Либо им следует позаботиться о безопасности своего финансового приложения, либо им следует заплатить штрафы и уйти играть в песочницу.
P.S.: Спасибо, что читаете! Будьте внимательны и осторожны при отправке транзакций. И делать выбор в пользу тех сервисов и компаний, которые заинтересованы в безопасности своего сервиса и работают на благо клиентов.
Для меня Ledger — пример компании, которая совершенно безответственна и закрывает глаза на подобные проблемы. Постоянные взломы их сервисов и потери клиентов (Ledger Kit). Моя цель — распространить этот кейс на максимально широкую аудиторию, чтобы каждый узнал об отношении компании к своим клиентам.
Оригинал