Ledger: инструмент для небезопасного хранения и передачи валют (или как с ним потерять деньги)

Приветствую читателей. Полагаю, если вы читаете эту статью, вы каким-то образом связаны с криптовалютами. Или слышали о Леджере. Я надеюсь, что эта статья поможет вам оставаться в безопасности. В конце концов, сам Ledger не беспокоится о безопасности криптоактивов своих пользователей.

Я опишу свою ситуацию, как я потерял 100 тысяч долларов США благодаря уникальному безопасному приложению Ledger Live (официальное мобильное приложение).

«Самый разумный способ защитить вашу криптовалюту» — гласит слоган на их официальном сайте.

«Нам доверяют более 6 миллионов клиентов» — и значительное количество пользователей в сфере криптографии».

Я не могу судить, насколько безопасен сам кошелек. Я использую Ledger Nano X. И если верить их сайту, это самый популярный кошелек в их арсенале.

Итак, начнем. Кстати, инцидент произошел всего через несколько дней после взлома их Ledger Kit. Неудивительно, ведь безопасность для них далеко не главный приоритет.

Но моя история об их Ledger Live — «дополнительном криптографическом приложении для ваших устройств Ledger».

Вопрос только в том, это компаньон для пользователей или, скорее, для хакеров?

Дело в том, что мне нужно было перевести 140 тысяч долларов США на один из моих адресов. Я решил сделать это в два этапа: сначала перевел 40К, а потом планировал перевести оставшиеся 100К. К моему удивлению, транзакция на сумму 100 000 долларов США не прошла и застряла в приложении с желтым статусом «Отправка» - 100 000 долларов США.

Моей первой мыслью было: «Может быть, TRX недостаточно для оплаты комиссии за транзакцию», поскольку каждая транзакция в Ledger Live сопровождается раздражающим сообщением «Энергия ниже, чем необходимо». Вы можете заплатить комиссионные до 50 TRX». Эта так называемая энергия зарабатывается путем размещения ставок на TRX. Платежи комиссий в сети Tron могут осуществляться либо с использованием этой энергии, либо с использованием токена TRX. Зачем пользователю постоянно нужно видеть информацию об энергии, когда он планирует использовать TRX для оплаты газа, непонятно. Но это не имеет значения.

Затем я пополнил свой TRX, вернулся и совершил фатальную ошибку. Конечно, если бы создатели действительно заботились о безопасности, они бы внесли в приложение ряд изменений, о которых я напишу позже.

Я нажал на транзакцию, которая застряла со статусом «Отправка» и суммой -100 000 долларов США.

Кто бы мог подумать, что такая транзакция в моем личном кабинете – на самом деле не моя? Естественно, я увидел начало и конец адреса, совпадающего с моим, но середину адреса не проверял.

«Это у меня в личном кабинете, со статусом Отправка», — подумал я. И в то же время мне пришло в голову: «Разве не существуют вирусы, которые выгружают данные из буфера обмена?»

Сравнил скопированный адрес с тем, который вставил - все хорошо. Только я не знал, что мошеннические транзакции на мой кошелек могут отображаться в личном кабинете. Особенно со статусом «Отправка».

И как вы могли догадаться, друзья, я подтвердил транзакцию и подарил какому-то хакеру 100 тысяч долларов США. Через несколько секунд они уже прошли через миксер.

Мой желаемый адрес вывода: TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (на всякий случай заменил середину нулями)

Адрес мошенничества: TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX

Идентификатор TX: 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5

Ledger, будучи настолько внимательным, не только отображает мошеннические транзакции, но и помогает легко копировать адреса из истории. Всего через пару часов заголовок транзакции «Отправка» и надпись -100 000 USDT исчезли. Сделка стала фиктивной. Очень интересный случай.

Точки

Итак, в чем смысл этой статьи? В мире много мошенников, а в криптосфере их число бесчисленно. Это рай для хакеров, мошенников, воров. Я считаю Ledger безответственной компанией. И теперь я понимаю, почему многие после использования Ledger отказываются от его использования. В Интернете полно видео, где люди выбрасывают его в мусор.

И как вы понимаете, подобные случаи случаются с людьми достаточно часто. Может ли Леджер предпринять шаги для устранения этих недостатков безопасности? Конечно. Но почему-то этого не делают. Возможно, им это невыгодно?

Почему бы им не предпринять следующие шаги:

1. Убрать возможность копирования адресов из истории транзакций (самый элементарный метод).

2. Добавьте фильтрацию адресов.

3. Выделите мошеннические транзакции (как это делают многие эксплореры и сервисы).

4. Добавить список одобренных адресов (куда пользователь добавляет «Белые адреса» по аналогии с биржами и другими платформами. При отправке на адрес вне этого списка должно появиться окно подтверждения, где адрес пишется крупным шрифтом, в котором указано, что «Адрес отсутствует в вашем списке одобренных адресов», поэтому рекомендуется тщательно перепроверить его.

5. Для частого взаимодействия с одним и тем же адресом - добавьте его в список часто используемых адресов.

Вместо этого в приложении есть много рекламы о различных вариантах ставок, реферальных системах и многом другом.

Служба поддержки Ledger называет это «отравлением адреса» (отравление адреса). Это очень популярная вещь.

Вот ссылка на их статью , которая последний раз обновлялась в августе 2023 года. С тех пор прошло почти 5 месяцев, а компания не предприняла никаких шагов по устранению уязвимостей.

Вот еще одна их статья , где их архитектор программного обеспечения описывает процесс отравления адресов. Но там указано, что злоумышленники используют токены Transfer с нулевой суммой с адресов людей. Предположительно, Ledger постоянно совершенствует свою систему противодействия. Но в моем случае передача была вовсе не нулевой. Это точно соответствовало сумме перевода.

Разумеется, в ответном письме поддержка прикрепила ссылку на пользовательское соглашение . Естественно, он содержит оговорку со стороны компании, а также перекладывает всю ответственность на пользователя. Поэтому, если в приложении Ledger Live вы увидите окно с надписью «Вот ваш адрес для отправки средств», где компания вставляет свой собственный адрес для отправки средств — это ваша и только ваша ответственность, что вы не проверили дважды. Неважно, что написано в приложении.

Свой случай считаю абсолютно аналогичным — в приложении была отмечена мошенническая транзакция:

• со статусом Ожидание,
• соответствующая сумма сделки – 100 000 USDT.

Подавляющее большинство пользователей сочтут эту транзакцию отправленной с их адреса и подумают, что она находится в очереди на выполнение (или не выполнена).

И наконец. О каком широком распространении продукта может идти речь? По их мнению, каждый, кто им пользуется, знает или должен знать об Address Poisoning. Надеюсь, после моей статьи вы перестанете использовать Ledger. И если вы только обдумывали это, вы откажетесь от этой идеи.

Возьмем, к примеру, мобильный банкинг. Если вы выбираете кого-то из своего списка контактов и переводите ему деньги - может ли возникнуть ситуация, когда приложение банка покажет чужие данные с этими учетными данными? Планирую подать в суд на компанию и подать жалобу в контролирующие органы. Такого беззакония быть не должно. Либо им стоит позаботиться о безопасности своего финансового приложения, либо им следует заплатить штрафы и уйти играть в песочницу.

PS: Спасибо, что читаете! Будьте внимательны и осторожны при отправке транзакций. И делать выбор в пользу тех сервисов и компаний, которые заинтересованы в безопасности своего сервиса и работают на благо клиентов.

Для меня Ledger — пример компании, которая совершенно безответственна и закрывает глаза на подобные проблемы. Постоянные взломы их сервисов и потери клиентов (Ledger Kit). Моя цель — распространить этот кейс на максимально широкую аудиторию, чтобы каждый узнал об отношении компании к своим клиентам.