読者の皆様、こんにちは。この記事を読んでいるあなたは、何らかの形で暗号通貨に関わっていると思います。またはレジャーについて聞いたことがある。この記事があなたの安全を守るのに役立つことを願っています。結局のところ、レジャー自体はユーザーの暗号資産のセキュリティを懸念していません。
独自に安全な Ledger Live アプリ (公式モバイル アプリケーション) のおかげで、どのようにして 100,000 USDT を失ったのか、私の状況を説明します。
「暗号通貨を保護する最も賢い方法」 - 公式ウェブサイトでスローガンを宣言しています。
「600万人を超える顧客から信頼されており」、暗号通貨分野ではかなりの数のユーザーが利用しています。」
ウォレット自体がどの程度安全であるか判断できません。私は Ledger Nano X を使用しています。そして、彼らのウェブサイトが信じられるなら、それは彼らの武器庫の中で最も人気のある財布です。
それでは、始めましょう。偶然にも、この事件は、Ledger Kit がハッキングされてからわずか数日後に発生しました。当然のことですが、セキュリティは最優先事項からは程遠いのです。
しかし、私の話は彼らの Ledger Live、つまり「Ledger デバイス用のコンパニオン暗号アプリ」に関するものです。
唯一の疑問は、それがユーザーのコンパニオンなのか、それともハッカーのコンパニオンなのかということです。
問題は、140,000 USDT を私のアドレスの 1 つに送金する必要があるということです。私はこれを 2 段階で行うことにしました。最初に 40K を転送し、次に残りの 100K を転送する予定です。驚いたことに、100,000 USDT トランザクションは完了せず、アプリ内で黄色のステータス「送信中」-100,000 USDT が表示されたままになっていました。
私の最初の考えは、「取引手数料を支払うのに十分なTRXがないのではないか」ということでした。Ledger Liveでのすべての取引には、「エネルギーが必要以上に低い」という迷惑なメッセージが表示されるためです。手数料として最大 50 TRX を支払う場合があります。」このいわゆるエネルギーは、TRX をステーキングすることで獲得されます。 Tron ネットワークでの料金の支払いは、このエネルギーまたは TRX トークンのいずれかを使用して行うことができます。ガスの支払いに TRX を使用する予定がある場合、ユーザーがエネルギーに関する情報を常に確認する必要がある理由は不明です。しかし、それは問題ではありません。
次に、TRX を補充して元に戻しましたが、致命的な間違いを犯してしまいました。もちろん、作成者が本当にセキュリティを重視していれば、アプリに多くの変更を加えたはずですが、それについては後ほど書きます。
ステータスが「送信中」、金額が -100,000 USDT のままになっているトランザクションをクリックしました。
私の個人口座でのそのような取引が、実際には私のものではなかったとは誰が想像したでしょうか。当然、住所の先頭と末尾は自分のものと一致していましたが、住所の途中までは確認していませんでした。
「これは私の個人アカウントにあり、ステータスは送信中です」と私は思いました。それと同時に、「クリップボードのデータを入れ替えるウイルスってあるんじゃないの?」とも思いました。
コピーしたアドレスと貼り付けたアドレスを比較しましたが、すべて問題ありませんでした。ただ、私のウォレットへの詐欺取引が私の個人アカウントに表示される可能性があるとは知りませんでした。特にステータスが「送信中」の場合。
そしてご想像のとおり、友人の皆さん、私は取引を確認し、ハッカーに 100,000 USDT を贈りました。数秒以内に、それらはすでにミキサーを通過しました。
希望の出金アドレス: TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (念のため真ん中をゼロに置き換えました)
詐欺アドレス: TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX
TX ID: 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5
Ledger は非常に思いやりがあり、詐欺取引を表示するだけでなく、履歴からアドレスを簡単にコピーすることもできます。わずか数時間後、トランザクション ヘッダー「送信中」と -100,000 USDT が消えました。トランザクションはダミーになりました。非常に興味深い事例です。
それで、この記事の要点は何でしょうか?世界には多くの詐欺師が存在し、暗号通貨の分野ではその数は数え切れないほどです。そこはハッカー、詐欺師、泥棒にとっての楽園です。私はLedger自体が無責任な会社だと思っています。そして今、多くの人が Ledger を使用した後、その使用を拒否する理由がわかりました。インターネット上には、ゴミ箱に捨てる人々の動画がたくさんあります。
そして、おわかりのとおり、そのようなケースは頻繁に人々に起こります。 Ledger はこれらのセキュリティ上の欠陥を排除するための措置を講じることができるでしょうか?もちろん。しかし、何らかの理由で、そうではありません。おそらくそれは彼らにとって利益にならないでしょうか?
なぜ彼らは次のような措置を講じないのでしょうか。
1. トランザクション履歴からアドレスをコピーする機能を削除します (最も基本的な方法)。
2. アドレスフィルタリングを追加します。
3. 詐欺取引を強調表示します (多くのエクスプローラーやサービスと同様)。
4. 承認されたアドレスのリストを追加します (ユーザーは取引所や他のプラットフォームと同様の「ホワイト アドレス」を追加します。このリスト以外のアドレスに送信する場合は、アドレスが大きなフォントで書かれ、次のことを示す確認ウィンドウが表示されます。 「そのアドレスは承認されたアドレスのリストにありません。」十分に再確認することをお勧めします。
5. 同じアドレスと頻繁にやりとりする場合 - 頻繁に使用するアドレスのリストに追加します。
その代わりに、アプリ内にはさまざまなステーキングのバリエーションや紹介システムなどに関する広告がたくさんあります。
Ledger Supportではこれを「Address Poisoning」(アドレスポイズニング)と呼んでいます。とても人気のあるものです。
ここに、2023 年 8 月に最後に更新された記事へのリンクがあります。それから 5 か月近くが経過しましたが、同社は脆弱性を排除するための措置を講じていません。
これは彼らの別の記事で、ソフトウェア アーキテクトがアドレス ポイズニングのプロセスについて説明しています。しかし、攻撃者は人々のアドレスからゼロ金額の転送トークンを使用すると述べています。おそらく、Ledger は常にその対策システムを改善していると思われます。しかし、私の場合、振込は全くゼロではありませんでした。振込金額とぴったり一致しました。
もちろん、サポートは返答レターの中で、ユーザー契約へのリンクを添付しました。当然のことながら、すべての責任をユーザーに転嫁するとともに、企業側の免責事項も含まれています。したがって、Ledger Live アプリで「資金送金用のアドレスはこちらです」というウィンドウが表示され、会社が資金送金用に独自のアドレスを挿入した場合、再確認しなかったのはあなただけの責任です。アプリに何が書かれても構いません。
私の場合も全く同様だと思います。アプリ内の詐欺取引には次のようなマークが付けられていました。
大多数のユーザーは、このトランザクションが自分のアドレスから送信されたものとみなし、実行キューに入っている (または実行に失敗した) と考えます。
そして最後に。製品の広範囲にわたる配布についてはどのようなことが考えられますか?彼らの意見では、これを使用する人は全員、アドレス ポイズニングについて知っているか、知っておくべきだと考えています。私の記事を読んだ後は、Ledger の使用をやめていただければ幸いです。そして、ただそれを検討しているだけであれば、この考えを放棄するでしょう。
モバイルバンキングを例に挙げてみましょう。連絡先リストから誰かを選択して、その人に送金した場合、銀行のアプリにその資格情報を含む他の人の詳細が表示される状況が発生する可能性がありますか?私は会社を告訴し、規制当局に苦情を申し立てるつもりです。このような不法行為はあってはならない。彼らは金融アプリケーションのセキュリティに気を配るべきか、罰金を払ってサンドボックスで遊ぶために立ち去るべきかのどちらかです。
PS:読んでいただきありがとうございます!トランザクションを送信するときは慎重かつ慎重に行ってください。そして、サービスのセキュリティに関心があり、クライアントの利益のために働くサービスや企業を優先して選択してください。
私にとって、Ledger は完全に無責任で、そのような問題に目をつぶっている会社の一例です。サービスの継続的なハッキングと顧客の損失 (Ledger Kit)。私の目標は、この事例をできるだけ多くの人に広めて、顧客に対する同社の姿勢を誰もが知ってもらうことです。