paint-brush
원장: 안전하지 않은 통화 보관 및 이체를 위한 도구(또는 이로 인해 돈을 잃는 방법)~에 의해@hackerclqhckc0c0000356yh2xd3ynv
1,651 판독값
1,651 판독값

원장: 안전하지 않은 통화 보관 및 이체를 위한 도구(또는 이로 인해 돈을 잃는 방법)

~에 의해 6m2024/01/05
Read on Terminal Reader

너무 오래; 읽다

독특하고 안전한 Ledger Live 앱(공식 모바일 앱) 덕분에 100,000 USDT를 잃었습니다.
featured image - 원장: 안전하지 않은 통화 보관 및 이체를 위한 도구(또는 이로 인해 돈을 잃는 방법)
undefined HackerNoon profile picture
0-item
1-item

독자 여러분께 인사드립니다. 이 글을 읽고 계시다면 여러분은 암호화폐와 어떤 식으로든 연결되어 계시리라 생각합니다. 또는 Ledger에 대해 들어본 적이 있습니다. 이 글이 여러분의 안전을 지켜주는 데 도움이 되기를 바랍니다. 결국 Ledger 자체는 사용자의 암호화 자산 보안에 대해 걱정하지 않습니다.


고유한 보안을 자랑하는 Ledger Live 앱(공식 모바일 앱) 덕분에 어떻게 100,000 USDT를 잃었는지 제 상황을 설명하겠습니다.


"암호화폐를 보호하는 가장 현명한 방법" - 공식 웹사이트에서 슬로건을 선포합니다.


“600만 명 이상의 고객이 신뢰하고 있으며” 암호화폐 분야에서 상당수의 사용자가 신뢰하고 있습니다."


지갑 자체가 얼마나 안전한지 판단할 수 없습니다. 나는 Ledger Nano X를 사용합니다. 그리고 그들의 웹사이트가 믿을만하다면 그것은 그들의 무기고에서 가장 인기 있는 지갑입니다.


해커의 동반자


이제 시작하겠습니다. 공교롭게도 이 사건은 Ledger Kit가 해킹된 지 불과 며칠 만에 발생했습니다. 당연히 보안은 최우선 순위와 거리가 멀기 때문입니다.


하지만 내 이야기는 "Ledger 장치를 위한 동반 암호화폐 앱"인 Ledger Live에 관한 것입니다.

유일한 질문은 이것이 사용자를 위한 것인지 아니면 해커를 위한 것인지입니다.


문제는 140K USDT를 내 주소 중 하나로 전송해야 한다는 것입니다. 저는 두 단계로 나누어 진행하기로 결정했습니다. 먼저 40K를 이체한 다음 나머지 100K를 이체할 계획이었습니다. 놀랍게도 100,000 USDT 거래가 완료되지 않았고 노란색 상태 '보내기' -100,000 USDT로 앱에 멈췄습니다.


사기 거래 현황 전송 (화면에 러시아어 언어가 표시되어 죄송합니다.)


Ledger Live의 모든 거래에는 '에너지가 필요보다 낮습니다. 수수료로 최대 50 TRX를 지불할 수 있습니다.' 소위 에너지라고 불리는 이 에너지는 TRX 스테이킹을 통해 획득됩니다. Tron 네트워크의 수수료 지불은 이 에너지 또는 TRX 토큰을 사용하여 이루어질 수 있습니다. 사용자가 가스 결제를 위해 TRX를 사용할 계획일 때 에너지에 대한 정보를 지속적으로 확인해야 하는 이유는 불분명합니다. 그러나 그것은 요점을 벗어났습니다.


다음으로 TRX를 충전하고 다시 들어갔는데 치명적인 실수를 저질렀습니다. 물론, 제작자가 정말로 보안에 관심을 가졌다면 앱에 많은 변경 사항을 적용했을 것입니다. 이에 대해서는 나중에 쓰겠습니다.


상태가 '보내기'이고 금액이 -100,000 USDT인 거래를 클릭했습니다.


내 개인 계좌에서 그러한 거래가 실제로 내 것이 아니라고 누가 생각했을까요? 당연히 나와 일치하는 주소의 시작과 끝은 보았지만 주소의 중간 부분은 확인하지 못했습니다.


'보내는 중' 상태의 내 개인 계정에 있습니다.'라고 생각했습니다. 그리고 동시에 '클립보드의 데이터를 교환하는 바이러스도 있지 않을까?'라는 생각이 들었습니다.


복사한 주소와 내가 붙여넣은 주소를 비교했는데 모두 괜찮았습니다. 다만, 내 지갑으로 사기 거래가 내 개인 계정에 표시될 수 있다는 사실을 몰랐습니다. 특히 '보내는 중' 상태에서는 더욱 그렇습니다.


그리고 여러분이 짐작할 수 있듯이 친구 여러분, 저는 거래를 확인하고 일부 해커에게 100,000 USDT를 선물했습니다. 몇 초 안에 그들은 이미 믹서를 통과했습니다.


도난당한 USDT의 경로

"사기 거래가 우리 이력에 자주 등장하나요? 그렇다면 사람들이 주소를 복사할 수 있게 해주세요."


내가 원하는 출금 주소 : TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (만약을 대비해 가운데를 0으로 바꿨습니다)


사기 주소: TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX


송신 ID: 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5


Ledger는 세심한 배려를 바탕으로 사기 거래를 표시할 뿐만 아니라 기록에서 주소를 손쉽게 복사하는 데도 도움이 됩니다. 불과 몇 시간 후, 거래 헤더 'Sending'과 -100,000 USDT가 사라졌습니다. 거래가 더미가 되었습니다. 매우 흥미로운 사례입니다.

포인트들

그렇다면 이 기사의 요점은 무엇입니까? 세상에는 많은 사기꾼이 있으며, 암호화폐 분야에서는 그 수가 셀 수 없이 많습니다. 해커, 사기꾼, 도둑의 천국입니다. 저는 Ledger 자체가 무책임한 회사라고 생각합니다. 이제 많은 사람들이 Ledger를 사용한 후 사용을 거부하는 이유를 이해합니다. 인터넷에는 쓰레기통에 버리는 사람들의 동영상이 많이 있습니다.


그리고 아시다시피 그러한 경우는 사람들에게 자주 발생합니다. Ledger는 이러한 보안 결함을 제거하기 위한 조치를 취할 수 있습니까? 물론. 그러나 어떤 이유로 그들은 그렇지 않습니다. 아마도 그들에게는 수익성이 없을 것입니까?


왜 그들은 다음 단계를 취하지 않습니까?

1. 거래 내역에서 주소를 복사하는 기능을 제거합니다(가장 기본적인 방법).

2. 주소 필터링을 추가하세요.

3. 사기 거래를 강조합니다(많은 탐험가와 서비스가 그렇듯이).

4. 승인된 주소 목록을 추가합니다(사용자가 거래소 및 기타 플랫폼과 유사하게 '화이트 주소'를 추가하는 경우). 이 목록 이외의 주소로 보낼 경우 주소가 큰 글꼴로 쓰여 있다는 확인 창이 나타나야 합니다. '승인된 주소 목록에 없는 주소입니다.', 꼼꼼히 다시 확인하시는 것이 좋습니다.

5. 동일한 주소로 자주 상호 작용하는 경우 - 자주 사용하는 주소 목록에 추가하세요.


대신 다양한 스테이킹 변형, 추천 시스템 등에 대한 광고가 앱에 많이 있습니다.


Ledger Support에서는 이를 '주소 중독'(주소 중독)이라고 부릅니다. 매우 인기 있는 일입니다.


다음은 2023년 8월에 마지막으로 업데이트된 기사에 대한 링크입니다 . 그 이후 거의 5개월이 지났지만 회사는 취약점을 제거하기 위한 어떠한 조치도 취하지 않았습니다.


다음은 소프트웨어 설계자가 주소 중독 프로세스를 설명하는 또 다른 기사입니다 . 그러나 공격자는 사람들의 주소에서 금액이 0인 전송 토큰을 사용한다고 명시되어 있습니다. 아마도 Ledger는 대응 시스템을 지속적으로 개선하고 있습니다. 그런데 제 경우에는 이체가 전혀 0이 아니었습니다. 이체 금액과 정확히 일치했습니다.


물론 지원팀은 응답 편지에 사용자 계약 링크를 첨부했습니다. 당연히 여기에는 회사 측의 면책 조항이 포함되어 있으며 모든 책임은 사용자에게 있습니다. 따라서 Ledger Live 앱에 '자금 보내기를 위한 주소는 다음과 같습니다'라는 창이 표시되고 회사에서 자금 보내기를 위한 자체 주소를 삽입하는 경우, 다시 확인하지 않은 것은 귀하의 책임이며 귀하의 책임입니다. 앱에 뭐라고 적혀있든 상관없습니다.


나는 내 사례가 완전히 유사하다고 생각합니다. 앱의 사기 거래가 다음과 같이 표시되었습니다.

  • 보류 상태인 경우
  • 일치하는 거래 금액 - 100,000 USDT.


대다수의 사용자는 이 거래가 자신의 주소에서 전송된 것으로 간주하고 실행 대기열에 있다고 생각합니다(또는 실행에 실패했습니다).


그리고 마지막으로. 제품의 광범위한 배포에 대해 이야기할 수 있습니까? 그들의 의견으로는 이를 사용하는 모든 사람은 주소 중독에 대해 알고 있거나 알아야 합니다. 내 기사가 끝나면 Ledger 사용을 중단하시기 바랍니다. 그리고 만약 당신이 그것을 고려하고 있었다면 당신은 이 아이디어를 포기할 것입니다.


모바일뱅킹을 예로 들어보겠습니다. 연락처 목록에서 누군가를 선택하고 그 사람에게 돈을 이체하는 경우 은행 앱에 해당 자격 증명과 함께 다른 사람의 세부 정보가 표시되는 상황이 있을 수 있습니까? 나는 회사를 고소하고 규제 당국에 불만을 제기할 계획입니다. 이런 불법은 존재해서는 안 됩니다. 금융 애플리케이션의 보안에 신경을 써야 합니다. 아니면 벌금을 내고 샌드박스에서 놀아야 합니다.


PS: 읽어주셔서 감사합니다! 거래를 보낼 때 주의하고 조심하십시오. 그리고 서비스 보안에 관심이 있고 고객의 이익을 위해 일하는 서비스와 회사에 유리한 선택을 하십시오.


나에게 Ledger는 완전히 무책임하고 이러한 문제를 눈감아주는 회사의 예입니다. 지속적인 서비스 해킹 및 클라이언트 손실(Ledger Kit) 나의 목표는 이 사례를 최대한 많은 청중에게 전파하여 모든 사람이 고객에 대한 회사의 태도를 알 수 있도록 하는 것입니다.