Ledger: Ein Tool zur unsicheren Speicherung und Übertragung von Währungen (oder wie man damit Geld verliert)

Grüße an die Leser. Ich nehme an, wenn Sie diesen Artikel lesen, sind Sie in irgendeiner Weise mit Kryptowährungen verbunden. Oder von Ledger gehört haben. Ich hoffe, dass dieser Artikel Ihnen hilft, sicher zu bleiben. Schließlich macht sich Ledger selbst keine Sorgen um die Sicherheit der Krypto-Assets seiner Benutzer.

Ich werde meine Situation beschreiben, wie ich dank der einzigartig sicheren Ledger Live-App (der offiziellen mobilen Anwendung) 100.000 USDT verloren habe.

„Der intelligenteste Weg, Ihre Kryptowährungen zu sichern“ – lautet der Slogan auf der offiziellen Website.

„Über 6 Millionen Kunden vertrauen uns“ – und eine beträchtliche Anzahl von Benutzern im Kryptobereich.“

Ich kann nicht beurteilen, wie sicher das Wallet selbst ist. Ich verwende das Ledger Nano X. Und wenn man ihrer Website Glauben schenken darf, ist es das beliebteste Wallet in ihrem Arsenal.

Also lasst uns anfangen. Tatsächlich ereignete sich der Vorfall nur wenige Tage nach dem Hackerangriff auf ihr Ledger Kit. Kein Wunder, denn Sicherheit steht bei ihnen bei weitem nicht an erster Stelle.

Aber meine Geschichte handelt von Ledger Live – „Die begleitende Krypto-App für Ihre Ledger-Geräte“.

Die Frage ist nur: Ist es ein Begleiter für Benutzer oder eher für Hacker?

Die Sache ist die, ich musste 140.000 USDT an eine meiner Adressen überweisen. Ich habe beschlossen, dies in zwei Schritten zu tun: Zuerst habe ich 40.000 übertragen, und dann habe ich geplant, die restlichen 100.000 zu übertragen. Zu meiner Überraschung wurde die 100.000 USDT-Transaktion nicht durchgeführt und blieb in der App mit dem gelben Status „Sendet“ -100.000 USDT hängen.

Mein erster Gedanke war: „Vielleicht ist nicht genug TRX vorhanden, um die Transaktionsgebühr zu bezahlen“, da jede Transaktion in Ledger Live von der nervigen Meldung „Energie ist niedriger als nötig“ begleitet wird. Sie zahlen möglicherweise bis zu 50 TRX an Gebühren.' Diese sogenannte Energie wird durch den Einsatz von TRX verdient. Gebührenzahlungen im Tron-Netzwerk können entweder über diese Energie oder den TRX-Token erfolgen. Warum der Benutzer ständig Informationen über Energie sehen muss, wenn er TRX für die Gaszahlung nutzen möchte, ist unklar. Aber das ist nebensächlich.

Als nächstes füllte ich mein TRX auf, ging wieder hinein und machte dann meinen fatalen Fehler. Wenn den Entwicklern die Sicherheit wirklich am Herzen lag, hätten sie natürlich eine Reihe von Änderungen an der App vorgenommen, über die ich später schreiben werde.

Ich habe auf die Transaktion geklickt, die mit dem Status „Wird gesendet“ und einem Betrag von -100.000 USDT hängen blieb.

Wer hätte gedacht, dass eine solche Transaktion auf meinem Privatkonto tatsächlich nicht von mir stammt? Natürlich sah ich, dass Anfang und Ende der Adresse mit meiner übereinstimmten, aber die Mitte der Adresse habe ich nicht überprüft.

„Es befindet sich in meinem persönlichen Konto mit dem Status Wird gesendet“, dachte ich. Und gleichzeitig kam mir der Gedanke: „Gibt es nicht Viren, die Daten aus der Zwischenablage auslagern?“

Ich habe die kopierte Adresse mit der eingefügten verglichen – alles gut. Nur wusste ich nicht, dass betrügerische Transaktionen zu meinem Wallet in meinem persönlichen Konto angezeigt werden könnten. Vor allem mit dem Status „Sendet“.

Und wie Sie vielleicht erraten haben, Freunde, habe ich die Transaktion bestätigt und einem Hacker 100.000 USDT geschenkt. Innerhalb von Sekunden waren sie bereits durch einen Mixer gegangen.

Meine gewünschte Auszahlungsadresse: TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (Ich habe die Mitte für alle Fälle durch Nullen ersetzt)

Betrugsadresse: TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX

TX-ID: 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5

Aufgrund seiner Rücksichtnahme zeigt Ledger nicht nur Betrugstransaktionen an, sondern hilft auch dabei, Adressen mühelos aus dem Verlauf zu kopieren. Nur ein paar Stunden später verschwanden der Transaktionskopf „Sending“ und -100.000 USDT. Die Transaktion wurde zum Dummy. Ein sehr interessanter Fall.

Punkte

Was ist also der Sinn dieses Artikels? Es gibt viele Betrüger auf der Welt, und im Kryptobereich ist ihre Zahl unzählig. Es ist ein Paradies für Hacker, Betrüger und Diebe. Ich halte Ledger selbst für ein verantwortungsloses Unternehmen. Und jetzt verstehe ich, warum viele, nachdem sie Ledger verwendet haben, sich weigern, es zu verwenden. Im Internet gibt es viele Videos von Leuten, die es in den Müll werfen.

Und wie Sie verstehen können, passieren Menschen solche Fälle oft genug. Könnte Ledger Maßnahmen ergreifen, um diese Sicherheitslücken zu beseitigen? Natürlich. Aber aus irgendeinem Grund tun sie das nicht. Vielleicht ist es für sie nicht rentabel?

Warum unternehmen sie nicht die folgenden Schritte:

1. Entfernen Sie die Möglichkeit, Adressen aus dem Transaktionsverlauf zu kopieren (die einfachste Methode).

2. Fügen Sie die Adressfilterung hinzu.

3. Heben Sie Betrugstransaktionen hervor (wie es viele Explorer und Dienste tun).

4. Fügen Sie eine Liste genehmigter Adressen hinzu (wobei der Benutzer „weiße Adressen“ hinzufügt, ähnlich wie bei Börsen und anderen Plattformen). Beim Senden an eine Adresse außerhalb dieser Liste sollte ein Bestätigungsfenster erscheinen, in dem die Adresse in großer Schrift geschrieben ist und dies angibt „Die Adresse ist nicht auf Ihrer Liste der genehmigten Adressen“ und es wird empfohlen, die Adresse noch einmal gründlich zu überprüfen.

5. Für häufige Interaktionen mit derselben Adresse – fügen Sie sie der Liste häufig verwendeter Adressen hinzu.

Stattdessen gibt es in der App jede Menge Werbung für verschiedene Einsatzvarianten, ihre Empfehlungssysteme und mehr.

Der Ledger-Support nennt dies „Address Poisoning“ (Adressvergiftung). Es ist eine sehr beliebte Sache.

Hier ist ein Link zu ihrem Artikel , der zuletzt im August 2023 aktualisiert wurde. Seitdem sind fast fünf Monate vergangen und das Unternehmen hat keine Schritte zur Beseitigung von Schwachstellen unternommen.

Hier ist ein weiterer Artikel von ihnen , in dem ihr Software-Architekt den Prozess der Adressvergiftung beschreibt. Aber es heißt, dass Angreifer Token mit einem Betrag von Null von den Adressen von Personen übertragen. Angeblich verbessert Ledger ständig sein System an Gegenmaßnahmen. Aber in meinem Fall war die Übertragung überhaupt nicht Null. Es entsprach genau dem Überweisungsbetrag.

Natürlich hat der Support in seinem Antwortschreiben einen Link zur Nutzungsvereinbarung beigefügt. Selbstverständlich enthält es einen Haftungsausschluss seitens des Unternehmens sowie die Abwälzung jeglicher Verantwortung auf den Nutzer. Wenn Sie also in der Ledger Live-App das Fenster mit der Meldung „Hier ist Ihre Adresse zum Senden von Geldern“ sehen, in dem das Unternehmen seine eigene Adresse zum Senden von Geldern eingibt, liegt es in Ihrer alleinigen Verantwortung, dass Sie nicht noch einmal überprüft haben. Egal was in der App geschrieben steht.

Ich halte meinen Fall für absolut analog – eine Betrugstransaktion in der App wurde markiert:

• mit dem Status „Ausstehend“,
• passender Transaktionsbetrag - 100.000 USDT.

Die überwiegende Mehrheit der Benutzer würde diese Transaktion als von ihrer Adresse gesendet betrachten und denken, dass sie sich in der Warteschlange zur Ausführung befindet (oder nicht ausgeführt werden konnte).

Und schlussendlich. Über welche weite Verbreitung des Produkts können wir sprechen? Ihrer Meinung nach kennt oder sollte jeder, der es nutzt, Address Poisoning kennen. Ich hoffe, dass Sie Ledger nach meinem Artikel nicht mehr verwenden werden. Und wenn Sie nur darüber nachdenken, werden Sie diese Idee aufgeben.

Nehmen Sie als Beispiel Mobile Banking. Wenn Sie jemanden aus Ihrer Kontaktliste auswählen und Geld an ihn überweisen – kann es dann vorkommen, dass die App der Bank die Daten einer anderen Person mit diesen Anmeldeinformationen anzeigt? Ich habe vor, das Unternehmen zu verklagen und eine Beschwerde bei den Aufsichtsbehörden einzureichen. Eine solche Gesetzlosigkeit sollte nicht existieren. Entweder sollten sie sich um die Sicherheit ihrer Finanzanwendung kümmern – oder sie sollten Bußgelder zahlen und weggehen, um im Sandkasten zu spielen.

PS: Vielen Dank fürs Lesen! Seien Sie beim Versenden von Transaktionen vorsichtig und vorsichtig. Und treffen Sie Entscheidungen zugunsten derjenigen Dienste und Unternehmen, die an der Sicherheit ihrer Dienstleistungen und Arbeit zum Nutzen der Kunden interessiert sind.

Für mich ist Ledger ein Beispiel für ein Unternehmen, das völlig verantwortungslos ist und bei solchen Problemen die Augen verschließt. Ständiges Hacken ihrer Dienste und Verlust von Kunden (Ledger Kit). Mein Ziel ist es, diesen Fall einem möglichst breiten Publikum zugänglich zu machen, damit jeder etwas über die Einstellung des Unternehmens gegenüber seinen Kunden erfährt.