paint-brush
Libro mayor: una herramienta para el almacenamiento y transferencia inseguros de monedas (o cómo perder dinero con ella)por@hackerclqhckc0c0000356yh2xd3ynv
1,648 lecturas
1,648 lecturas

Libro mayor: una herramienta para el almacenamiento y transferencia inseguros de monedas (o cómo perder dinero con ella)

por 6m2024/01/05
Read on Terminal Reader

Demasiado Largo; Para Leer

Cómo perdí 100.000 USDT gracias a la aplicación Ledger Live, excepcionalmente segura (la aplicación móvil oficial).
featured image - Libro mayor: una herramienta para el almacenamiento y transferencia inseguros de monedas (o cómo perder dinero con ella)
undefined HackerNoon profile picture
0-item
1-item

Saludos a los lectores. Supongo que si estás leyendo este artículo, de alguna manera estás conectado con las criptomonedas. O haber oído hablar de Ledger. Espero que este artículo te ayude a mantenerte a salvo. Después de todo, a Ledger no le preocupa la seguridad de los criptoactivos de sus usuarios.


Describiré mi situación, cómo perdí 100.000 USDT gracias a la aplicación Ledger Live, excepcionalmente segura (la aplicación móvil oficial).


"La forma más inteligente de proteger sus criptomonedas", proclama el lema en su sitio web oficial.


"Con la confianza de más de 6 millones de clientes" y un número significativo de usuarios de la criptoesfera".


No puedo juzgar qué tan segura es la billetera en sí. Utilizo Ledger Nano X. Y si hay que creer en su sitio web, es la billetera más popular de su arsenal.


Compañero de hackers


Entonces empecemos. Dio la casualidad de que el incidente ocurrió apenas unos días después del pirateo de su Ledger Kit. No es de extrañar, ya que la seguridad está lejos de ser su principal prioridad.


Pero mi historia es sobre su Ledger Live: "La aplicación criptográfica complementaria para sus dispositivos Ledger".

La única pregunta es, ¿es un compañero para los usuarios o más bien para los hackers?


La cuestión es que necesitaba transferir 140.000 USDT a una de mis direcciones. Decidí hacerlo en dos etapas: primero transfirí 40K y luego planeé transferir los 100K restantes. Para mi sorpresa, la transacción de 100.000 USDT no se realizó y quedó bloqueada en la aplicación con el estado amarillo "Enviando" -100.000 USDT.


Estado de envío de la transacción fraudulenta (perdón por el idioma ruso en las pantallas)


Mi primer pensamiento fue: "Tal vez no haya suficiente TRX para pagar la tarifa de transacción", ya que cada transacción en Ledger Live va acompañada del molesto mensaje "La energía es inferior a la necesaria". Podrías pagar hasta 50 TRX en tarifas. Esta llamada Energía se obtiene apostando TRX. Los pagos de tarifas en la red Tron se pueden realizar utilizando esta energía o el token TRX. No está claro por qué el usuario necesita ver constantemente información sobre energía cuando planea usar TRX para pagar el gas. Pero eso no viene al caso.


Luego, recargué mi TRX, volví a entrar y luego cometí mi error fatal. Por supuesto, si a los creadores realmente les importara la seguridad, habrían realizado una serie de cambios en la aplicación, sobre los cuales escribiré más adelante.


Hice clic en la transacción que estaba bloqueada con el estado "Enviando" y un monto de -100,000 USDT.


¿Quién hubiera pensado que tal transacción en mi cuenta personal en realidad no era mía? Naturalmente, vi el principio y el final de la dirección que coincidían con la mía, pero no revisé el medio de la dirección.


'Está en mi cuenta personal, con el estado Enviando', pensé. Y al mismo tiempo se me ocurrió: '¿No existen virus que intercambian datos del portapapeles?'


Comparé la dirección copiada con la que pegué; todo bien. Solo que no sabía que las transacciones fraudulentas realizadas en mi billetera podían aparecer en mi cuenta personal. Especialmente con el estado 'Enviando'.


Y como pueden adivinar, amigos, confirmé la transacción y le regalé a un hacker 100.000 USDT. En cuestión de segundos, ya habían pasado por una batidora.


El camino robado del USDT

"¿Las transacciones fraudulentas aparecen a menudo en nuestra historia? Entonces, permita que las personas tengan la capacidad de copiar direcciones".


Mi dirección de retiro deseada: TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (reemplacé el medio con ceros por si acaso)


Dirección de estafa: TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX


Identificación de TX: 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5


Ledger, al ser tan considerado, no solo muestra transacciones fraudulentas sino que también ayuda a copiar direcciones del historial sin esfuerzo. Solo un par de horas después, el encabezado de la transacción 'Enviando' y -100,000 USDT desaparecieron. La transacción se volvió ficticia. Un caso muy interesante.

Puntos

Entonces, ¿cuál es el objetivo de este artículo? Hay muchos estafadores en el mundo y, en la criptoesfera, su número es incontable. Es un paraíso para hackers, estafadores y ladrones. Considero que la propia Ledger es una empresa irresponsable. Y ahora entiendo por qué muchos, después de usar Ledger, se niegan a usarlo. Hay muchos vídeos en Internet de personas que lo tiran a la basura.


Y como puedes comprender, estos casos le suceden a la gente con bastante frecuencia. ¿Podría Ledger tomar medidas para eliminar estos fallos de seguridad? Por supuesto. Pero por alguna razón no lo hacen. ¿Quizás no les resulte rentable?


¿Por qué no toman los siguientes pasos?

1. Elimine la capacidad de copiar direcciones del historial de transacciones (el método más básico).

2. Agregue filtrado de direcciones.

3. Resalte las transacciones fraudulentas (como lo hacen muchos exploradores y servicios).

4. Agregue una lista de direcciones aprobadas (donde el usuario agrega 'direcciones blancas' similares a los intercambios y otras plataformas. Al enviar a una dirección fuera de esta lista, debería aparecer una ventana de confirmación, donde la dirección está escrita en fuente grande, indicando que "La dirección no está en su lista de direcciones aprobadas" y se recomienda volver a verificarla minuciosamente.

5. Para interacciones frecuentes con la misma dirección, agréguela a la lista de direcciones utilizadas con frecuencia.


En cambio, tienen mucha publicidad en la aplicación sobre diversas variaciones de apuestas, sus sistemas de referencia y más.


El soporte de Ledger llama a esto 'Envenenamiento de direcciones' (envenenamiento de direcciones). Es algo muy popular.


Aquí hay un enlace a su artículo , que se actualizó por última vez en agosto de 2023. Han pasado casi 5 meses desde entonces y la empresa no ha tomado ninguna medida para eliminar las vulnerabilidades.


Aquí hay otro artículo suyo , donde su arquitecto de software describe el proceso de envenenamiento de direcciones. Pero afirma que los atacantes utilizan tokens de transferencia con una cantidad cero de las direcciones de las personas. Supuestamente, Ledger mejora constantemente su sistema de contramedidas. Pero en mi caso la transferencia no fue nada nula. Coincidía exactamente con el monto de la transferencia.


Por supuesto, en su carta de respuesta, el soporte adjuntó un enlace al acuerdo de usuario . Naturalmente, contiene una exención de responsabilidad por parte de la empresa, además de trasladar toda la responsabilidad al usuario. Entonces, si en la aplicación Ledger Live aparece una ventana que dice "Aquí está su dirección para enviar fondos", donde la compañía inserta su propia dirección para enviar fondos, es su y sólo su responsabilidad no haber verificado dos veces. No importa lo que esté escrito en la aplicación.


Considero que mi caso es absolutamente análogo: se marcó una transacción fraudulenta en la aplicación:

  • con estado Pendiente,
  • monto de transacción coincidente: 100,000 USDT.


La gran mayoría de usuarios consideraría que esta transacción se envió desde su dirección y pensaría que está en la cola de ejecución (o que no se pudo ejecutar).


Y finalmente. ¿De qué distribución generalizada del producto podemos hablar? En su opinión, todo aquel que lo utiliza sabe o debería saber sobre el envenenamiento por direcciones. Espero que después de mi artículo dejes de usar Ledger. Y si simplemente lo estuvieras considerando, abandonarás esta idea.


Tomemos como ejemplo la banca móvil. Si elige a alguien de su lista de contactos y le transfiere dinero, ¿puede haber una situación en la que la aplicación del banco muestre los detalles de otra persona con esas credenciales? Planeo demandar a la empresa y presentar una queja ante las autoridades reguladoras. Semejante anarquía no debería existir. O deberían preocuparse por la seguridad de su aplicación financiera, o deberían pagar multas e irse a jugar al sandbox.


PD: ¡Gracias por leer! Tenga cuidado y cautela al enviar transacciones. Y tomar decisiones a favor de aquellos servicios y empresas que estén interesadas en la seguridad de su servicio y trabajen en beneficio de los clientes.


Para mí, Ledger es un ejemplo de una empresa que es completamente irresponsable y hace la vista gorda ante este tipo de problemas. Hackeo constante de sus servicios y pérdidas de clientes (Ledger Kit). Mi objetivo es difundir este caso al mayor público posible para que todos conozcan la actitud de la empresa hacia sus clientes.