paint-brush
Ledger: инструмент для небезопасного хранения и передачи валют (или как с ним потерять деньги)к@hackerclqhckc0c0000356yh2xd3ynv
1,648 чтения
1,648 чтения

Ledger: инструмент для небезопасного хранения и передачи валют (или как с ним потерять деньги)

к 6m2024/01/05
Read on Terminal Reader

Слишком долго; Читать

Как я потерял 100 тысяч долларов США благодаря уникальному безопасному приложению Ledger Live (официальному мобильному приложению).
featured image - Ledger: инструмент для небезопасного хранения и передачи валют (или как с ним потерять деньги)
undefined HackerNoon profile picture
0-item
1-item

Приветствую читателей. Полагаю, если вы читаете эту статью, вы каким-то образом связаны с криптовалютами. Или слышали о Леджере. Я надеюсь, что эта статья поможет вам оставаться в безопасности. В конце концов, сам Ledger не беспокоится о безопасности криптоактивов своих пользователей.


Я опишу свою ситуацию, как я потерял 100 тысяч долларов США благодаря уникальному безопасному приложению Ledger Live (официальное мобильное приложение).


«Самый разумный способ защитить вашу криптовалюту» — гласит слоган на их официальном сайте.


«Нам доверяют более 6 миллионов клиентов» — и значительное количество пользователей в сфере криптографии».


Я не могу судить, насколько безопасен сам кошелек. Я использую Ledger Nano X. И если верить их сайту, это самый популярный кошелек в их арсенале.


Компаньон для хакеров


Итак, начнем. Кстати, инцидент произошел всего через несколько дней после взлома их Ledger Kit. Неудивительно, ведь безопасность для них далеко не главный приоритет.


Но моя история об их Ledger Live — «дополнительном криптографическом приложении для ваших устройств Ledger».

Вопрос только в том, это компаньон для пользователей или, скорее, для хакеров?


Дело в том, что мне нужно было перевести 140 тысяч долларов США на один из моих адресов. Я решил сделать это в два этапа: сначала перевел 40К, а потом планировал перевести оставшиеся 100К. К моему удивлению, транзакция на сумму 100 000 долларов США не прошла и застряла в приложении с желтым статусом «Отправка» - 100 000 долларов США.


Отправка статуса мошеннической транзакции (извините за русский язык на экранах)


Моей первой мыслью было: «Может быть, TRX недостаточно для оплаты комиссии за транзакцию», поскольку каждая транзакция в Ledger Live сопровождается раздражающим сообщением «Энергия ниже, чем необходимо». Вы можете заплатить комиссионные до 50 TRX». Эта так называемая энергия зарабатывается путем размещения ставок на TRX. Платежи комиссий в сети Tron могут осуществляться либо с использованием этой энергии, либо с использованием токена TRX. Зачем пользователю постоянно нужно видеть информацию об энергии, когда он планирует использовать TRX для оплаты газа, непонятно. Но это не имеет значения.


Затем я пополнил свой TRX, вернулся и совершил фатальную ошибку. Конечно, если бы создатели действительно заботились о безопасности, они бы внесли в приложение ряд изменений, о которых я напишу позже.


Я нажал на транзакцию, которая застряла со статусом «Отправка» и суммой -100 000 долларов США.


Кто бы мог подумать, что такая транзакция в моем личном кабинете – на самом деле не моя? Естественно, я увидел начало и конец адреса, совпадающего с моим, но середину адреса не проверял.


«Это у меня в личном кабинете, со статусом Отправка», — подумал я. И в то же время мне пришло в голову: «Разве не существуют вирусы, которые выгружают данные из буфера обмена?»


Сравнил скопированный адрес с тем, который вставил - все хорошо. Только я не знал, что мошеннические транзакции на мой кошелек могут отображаться в личном кабинете. Особенно со статусом «Отправка».


И как вы могли догадаться, друзья, я подтвердил транзакцию и подарил какому-то хакеру 100 тысяч долларов США. Через несколько секунд они уже прошли через миксер.


Путь украденного USDT

«Часто ли в нашей истории появляются мошеннические транзакции? Тогда дайте людям возможность копировать адреса».


Мой желаемый адрес вывода: TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (на всякий случай заменил середину нулями)


Адрес мошенничества: TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX


Идентификатор TX: 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5


Ledger, будучи настолько внимательным, не только отображает мошеннические транзакции, но и помогает легко копировать адреса из истории. Всего через пару часов заголовок транзакции «Отправка» и надпись -100 000 USDT исчезли. Сделка стала фиктивной. Очень интересный случай.

Точки

Итак, в чем смысл этой статьи? В мире много мошенников, а в криптосфере их число бесчисленно. Это рай для хакеров, мошенников, воров. Я считаю Ledger безответственной компанией. И теперь я понимаю, почему многие после использования Ledger отказываются от его использования. В Интернете полно видео, где люди выбрасывают его в мусор.


И как вы понимаете, подобные случаи случаются с людьми достаточно часто. Может ли Леджер предпринять шаги для устранения этих недостатков безопасности? Конечно. Но почему-то этого не делают. Возможно, им это невыгодно?


Почему бы им не предпринять следующие шаги:

1. Убрать возможность копирования адресов из истории транзакций (самый элементарный метод).

2. Добавьте фильтрацию адресов.

3. Выделите мошеннические транзакции (как это делают многие эксплореры и сервисы).

4. Добавить список одобренных адресов (куда пользователь добавляет «Белые адреса» по аналогии с биржами и другими платформами. При отправке на адрес вне этого списка должно появиться окно подтверждения, где адрес пишется крупным шрифтом, в котором указано, что «Адрес отсутствует в вашем списке одобренных адресов», поэтому рекомендуется тщательно перепроверить его.

5. Для частого взаимодействия с одним и тем же адресом - добавьте его в список часто используемых адресов.


Вместо этого в приложении есть много рекламы о различных вариантах ставок, реферальных системах и многом другом.


Служба поддержки Ledger называет это «отравлением адреса» (отравление адреса). Это очень популярная вещь.


Вот ссылка на их статью , которая последний раз обновлялась в августе 2023 года. С тех пор прошло почти 5 месяцев, а компания не предприняла никаких шагов по устранению уязвимостей.


Вот еще одна их статья , где их архитектор программного обеспечения описывает процесс отравления адресов. Но там указано, что злоумышленники используют токены Transfer с нулевой суммой с адресов людей. Предположительно, Ledger постоянно совершенствует свою систему противодействия. Но в моем случае передача была вовсе не нулевой. Это точно соответствовало сумме перевода.


Разумеется, в ответном письме поддержка прикрепила ссылку на пользовательское соглашение . Естественно, он содержит оговорку со стороны компании, а также перекладывает всю ответственность на пользователя. Поэтому, если в приложении Ledger Live вы увидите окно с надписью «Вот ваш адрес для отправки средств», где компания вставляет свой собственный адрес для отправки средств — это ваша и только ваша ответственность, что вы не проверили дважды. Неважно, что написано в приложении.


Свой случай считаю абсолютно аналогичным — в приложении была отмечена мошенническая транзакция:

  • со статусом Ожидание,
  • соответствующая сумма сделки – 100 000 USDT.


Подавляющее большинство пользователей сочтут эту транзакцию отправленной с их адреса и подумают, что она находится в очереди на выполнение (или не выполнена).


И наконец. О каком широком распространении продукта может идти речь? По их мнению, каждый, кто им пользуется, знает или должен знать об Address Poisoning. Надеюсь, после моей статьи вы перестанете использовать Ledger. И если вы только обдумывали это, вы откажетесь от этой идеи.


Возьмем, к примеру, мобильный банкинг. Если вы выбираете кого-то из своего списка контактов и переводите ему деньги - может ли возникнуть ситуация, когда приложение банка покажет чужие данные с этими учетными данными? Планирую подать в суд на компанию и подать жалобу в контролирующие органы. Такого беззакония быть не должно. Либо им стоит позаботиться о безопасности своего финансового приложения, либо им следует заплатить штрафы и уйти играть в песочницу.


PS: Спасибо, что читаете! Будьте внимательны и осторожны при отправке транзакций. И делать выбор в пользу тех сервисов и компаний, которые заинтересованы в безопасности своего сервиса и работают на благо клиентов.


Для меня Ledger — пример компании, которая совершенно безответственна и закрывает глаза на подобные проблемы. Постоянные взломы их сервисов и потери клиентов (Ledger Kit). Моя цель — распространить этот кейс на максимально широкую аудиторию, чтобы каждый узнал об отношении компании к своим клиентам.