Ledger : un outil pour le stockage et le transfert dangereux de devises (ou comment perdre de l'argent avec)

Salutations aux lecteurs. Je suppose que si vous lisez cet article, vous êtes en quelque sorte connecté aux crypto-monnaies. Ou j'ai entendu parler de Ledger. J'espère que cet article vous aidera à rester en sécurité. Après tout, Ledger lui-même ne se soucie pas de la sécurité des actifs cryptographiques de ses utilisateurs.

Je vais décrire ma situation, comment j'ai perdu 100 000 USDT grâce à l'application Ledger Live, unique et sécurisée (l'application mobile officielle).

« Le moyen le plus intelligent de sécuriser votre crypto » - proclame le slogan sur leur site officiel.

"Plus de 6 millions de clients nous font confiance" - et un nombre important d'utilisateurs pour la sphère crypto."

Je ne peux pas juger de la sécurité du portefeuille lui-même. J'utilise le Ledger Nano X. Et si l'on en croit leur site Web, c'est le portefeuille le plus populaire de leur arsenal.

Alors, commençons. En réalité, l’incident s’est produit quelques jours seulement après le piratage de leur Ledger Kit. Ce n’est pas surprenant, puisque la sécurité est loin d’être leur priorité absolue.

Mais mon histoire concerne leur Ledger Live - "L'application de cryptographie compagnon pour vos appareils Ledger".

La seule question est : est-ce un compagnon pour les utilisateurs ou plutôt pour les hackers ?

Le fait est que je devais transférer 140 000 USDT vers l’une de mes adresses. J'ai décidé de le faire en deux étapes : d'abord, j'ai transféré 40K, puis j'ai prévu de transférer les 100K restants. À ma grande surprise, la transaction de 100 000 USDT n'a pas abouti et est restée bloquée dans l'application avec le statut jaune « Envoi » -100 000 USDT.

Ma première pensée a été : « Peut-être qu'il n'y a pas assez de TRX pour payer les frais de transaction », puisque chaque transaction dans Ledger Live est accompagnée du message ennuyeux « L'énergie est inférieure à ce qui est nécessaire ». Vous pourriez payer jusqu'à 50 TRX de frais. Cette soi-disant énergie est gagnée grâce au jalonnement de TRX. Le paiement des frais sur le réseau Tron peut être effectué soit en utilisant cette énergie, soit en utilisant le jeton TRX. La raison pour laquelle l'utilisateur a constamment besoin de voir des informations sur l'énergie lorsqu'il envisage d'utiliser TRX pour payer le gaz n'est pas claire. Mais ce n’est pas la question.

Ensuite, j'ai rechargé mon TRX, je suis rentré, puis j'ai commis mon erreur fatale. Bien sûr, si les créateurs se souciaient vraiment de la sécurité, ils auraient apporté un certain nombre de modifications à l'application, sur lesquelles j'écrirai plus tard.

J'ai cliqué sur la transaction qui était bloquée avec le statut 'Envoi' et un montant de -100 000 USDT.

Qui aurait pensé qu'une telle transaction sur mon compte personnel n'était en réalité pas le mien ? Naturellement, j'ai vu le début et la fin de l'adresse correspondant au mien, mais je n'ai pas vérifié le milieu de l'adresse.

«C'est dans mon compte personnel, avec le statut Envoi», pensai-je. Et en même temps, je me suis demandé : « N'y a-t-il pas des virus qui échangent les données du presse-papiers ?

J'ai comparé l'adresse copiée avec celle que j'ai collée – tout va bien. Seulement, je ne savais pas que les transactions frauduleuses effectuées sur mon portefeuille pouvaient être affichées dans mon compte personnel. Surtout avec le statut 'Envoi'.

Et comme vous pouvez le deviner, mes amis, j'ai confirmé la transaction et offert 100 000 USDT à un pirate informatique. En quelques secondes, ils étaient déjà passés dans un mixeur.

Mon adresse de retrait souhaitée : TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (j'ai remplacé le milieu par des zéros au cas où)

Adresse d'arnaque : TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX

Identifiant d'émission : 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5

Ledger, étant si prévenant, affiche non seulement les transactions frauduleuses, mais permet également de copier sans effort les adresses de l'historique. Quelques heures plus tard, l'en-tête de transaction « Envoi » et -100 000 USDT ont disparu. La transaction est devenue factice. Un cas très intéressant.

Points

Alors, quel est l’intérêt de cet article ? Il existe de nombreux fraudeurs dans le monde, et dans la sphère crypto, leur nombre est incalculable. C'est le paradis des hackers, des escrocs et des voleurs. Je considère Ledger elle-même comme une entreprise irresponsable. Et maintenant je comprends pourquoi beaucoup, après avoir utilisé Ledger, refusent de l'utiliser. Il existe de nombreuses vidéos sur Internet de personnes le jetant à la poubelle.

Et comme vous pouvez le comprendre, de tels cas arrivent assez souvent aux gens. Ledger pourrait-il prendre des mesures pour éliminer ces failles de sécurité ? Bien sûr. Mais pour une raison quelconque, ce n’est pas le cas. Peut-être que ce n'est pas rentable pour eux ?

Pourquoi ne prennent-ils pas les mesures suivantes :

1. Supprimez la possibilité de copier des adresses de l'historique des transactions (la méthode la plus basique).

2. Ajoutez un filtrage d'adresses.

3. Mettez en évidence les transactions frauduleuses (comme le font de nombreux explorateurs et services).

4. Ajoutez une liste d'adresses approuvées (où l'utilisateur ajoute des « adresses blanches » similaires aux échanges et autres plateformes. Lors de l'envoi à une adresse en dehors de cette liste, une fenêtre de confirmation devrait apparaître, où l'adresse est écrite en gros caractères, indiquant que « L'adresse ne figure pas sur votre liste d'adresses approuvées » et il est recommandé de revérifier minutieusement.

5. Pour des interactions fréquentes avec la même adresse, ajoutez-la à la liste des adresses fréquemment utilisées.

Au lieu de cela, ils proposent de nombreuses publicités dans l'application sur les différentes variantes de mise, leurs systèmes de parrainage, et bien plus encore.

Ledger Support appelle cela « Address Poisoning » (empoisonnement d'adresse). C'est une chose très populaire.

Voici un lien vers leur article , dont la dernière mise à jour date d'août 2023. Près de 5 mois se sont écoulés depuis et l'entreprise n'a pris aucune mesure pour éliminer les vulnérabilités.

Voici un autre de leurs articles , dans lequel leur architecte logiciel décrit le processus d'empoisonnement d'adresse. Mais il indique que les attaquants utilisent des jetons de transfert d'un montant nul provenant des adresses des personnes. Apparemment, Ledger améliore constamment son système de contre-mesures. Mais dans mon cas, le transfert n’était pas du tout nul. Cela correspondait exactement au montant du transfert.

Bien entendu, dans leur lettre de réponse, le support a joint un lien vers les conditions d'utilisation . Naturellement, il contient une clause de non-responsabilité de la part de l'entreprise, ainsi que le transfert de toute responsabilité à l'utilisateur. Ainsi, si dans l'application Ledger Live, vous obtenez une fenêtre indiquant « Voici votre adresse pour l'envoi des fonds », où l'entreprise insère sa propre adresse pour l'envoi des fonds, il est de votre et seule responsabilité que vous n'ayez pas revérifié. Peu importe ce qui est écrit dans l'application.

Je considère que mon cas est tout à fait analogue : une transaction frauduleuse a été signalée dans l'application :

• avec un statut En attente,
• montant de la transaction correspondant - 100 000 USDT.

La grande majorité des utilisateurs considéreraient cette transaction comme envoyée depuis leur adresse et penseraient qu'elle est dans la file d'attente d'exécution (ou n'a pas pu être exécutée).

Et enfin. De quelle diffusion généralisée du produit peut-on parler ? À leur avis, tous ceux qui l’utilisent connaissent ou devraient connaître Address Poisoning. J'espère qu'après mon article, vous arrêterez d'utiliser Ledger. Et si vous y réfléchissiez simplement, vous abandonneriez cette idée.

Prenons l’exemple des services bancaires mobiles. Si vous choisissez quelqu'un dans votre liste de contacts et lui transférez de l'argent, peut-il y avoir une situation où l'application de la banque affiche les détails de quelqu'un d'autre avec ces informations d'identification ? J'ai l'intention de poursuivre l'entreprise en justice et de déposer une plainte auprès des autorités réglementaires. Une telle anarchie ne devrait pas exister. Soit ils doivent se soucier de la sécurité de leur application financière, soit ils doivent payer des amendes et partir jouer dans le bac à sable.

PS : Merci d'avoir lu ! Soyez prudent lorsque vous envoyez des transactions. Et faire des choix en faveur des services et des entreprises qui s'intéressent à la sécurité de leur service et travaillent au profit des clients.

Pour moi, Ledger est un exemple d’entreprise totalement irresponsable et fermant les yeux sur de tels problèmes. Piratage constant de leurs services et pertes de clients (Ledger Kit). Mon objectif est de diffuser cette affaire auprès du public le plus large possible afin que chacun connaisse l'attitude de l'entreprise envers ses clients.