paint-brush
Sổ cái: Công cụ lưu trữ và chuyển tiền không an toàn (Hoặc cách mất tiền với nó)từ tác giả@hackerclqhckc0c0000356yh2xd3ynv
1,604 lượt đọc
1,604 lượt đọc

Sổ cái: Công cụ lưu trữ và chuyển tiền không an toàn (Hoặc cách mất tiền với nó)

từ tác giả 6m2024/01/05
Read on Terminal Reader

dài quá đọc không nổi

Tôi đã mất 100 nghìn USDT như thế nào nhờ ứng dụng Ledger Live bảo mật độc nhất (ứng dụng di động chính thức).
featured image - Sổ cái: Công cụ lưu trữ và chuyển tiền không an toàn (Hoặc cách mất tiền với nó)
undefined HackerNoon profile picture
0-item
1-item

Xin gửi lời chào tới độc giả. Tôi cho rằng nếu bạn đang đọc bài viết này thì theo một cách nào đó bạn đang kết nối với tiền điện tử. Hoặc đã nghe nói về Ledger. Tôi hy vọng bài viết này sẽ giúp bạn giữ an toàn. Xét cho cùng, bản thân Ledger không quan tâm đến tính bảo mật của tài sản tiền điện tử của người dùng.


Tôi sẽ mô tả tình huống của mình, tôi đã mất 100 nghìn USDT như thế nào nhờ ứng dụng Ledger Live được bảo mật độc nhất (ứng dụng di động chính thức).


“Cách thông minh nhất để bảo mật tiền điện tử của bạn” - tuyên bố khẩu hiệu trên trang web chính thức của họ.


“Được hơn 6 triệu khách hàng tin cậy” - và một số lượng đáng kể người dùng trong lĩnh vực tiền điện tử.”


Tôi không thể đánh giá mức độ an toàn của ví. Tôi sử dụng Ledger Nano X. Và nếu trang web của họ đáng tin cậy thì đó là ví phổ biến nhất trong kho vũ khí của họ.


Bạn đồng hành của hacker


Vậy hãy bắt đầu. Như đã xảy ra, sự việc xảy ra chỉ vài ngày sau vụ hack Ledger Kit của họ. Không có gì ngạc nhiên khi an ninh không phải là ưu tiên hàng đầu của họ.


Nhưng câu chuyện của tôi là về Ledger Live của họ - “Ứng dụng tiền điện tử đồng hành cho các thiết bị Ledger của bạn”.

Câu hỏi duy nhất là nó là người bạn đồng hành cho người dùng hay đúng hơn là cho tin tặc?


Vấn đề là tôi cần chuyển 140K USDT đến một trong các địa chỉ của mình. Tôi quyết định thực hiện làm hai giai đoạn: đầu tiên, tôi chuyển 40K, sau đó tôi dự định chuyển 100K còn lại. Thật ngạc nhiên, giao dịch 100K USDT đã không thành công và bị kẹt trong ứng dụng với trạng thái màu vàng 'Đang gửi' -100.000 USDT.


Gửi trạng thái giao dịch lừa đảo (Xin lỗi vì tiếng Nga trên màn hình)


Suy nghĩ đầu tiên của tôi là 'Có thể không có đủ TRX để trả phí giao dịch' vì mọi giao dịch trong Ledger Live đều kèm theo thông báo khó chịu 'Năng lượng thấp hơn mức cần thiết. Bạn có thể phải trả phí lên tới 50 TRX.' Cái gọi là Năng lượng này kiếm được thông qua việc đặt cược TRX. Thanh toán phí trong mạng Tron có thể được thực hiện bằng cách sử dụng năng lượng này hoặc mã thông báo TRX. Tại sao người dùng liên tục cần xem thông tin về năng lượng khi họ dự định sử dụng TRX để thanh toán gas vẫn chưa rõ ràng. Nhưng đó không phải là vấn đề.


Tiếp theo, tôi nạp TRX của mình, quay trở lại và sau đó tôi đã mắc sai lầm chết người. Tất nhiên, nếu người sáng tạo thực sự quan tâm đến bảo mật, họ sẽ thực hiện một số thay đổi đối với ứng dụng mà tôi sẽ viết sau.


Tôi đã nhấp vào giao dịch bị kẹt với trạng thái 'Đang gửi' và số tiền -100.000 USDT.


Ai có thể nghĩ rằng một giao dịch như vậy trong tài khoản cá nhân của tôi - thực ra không phải của tôi? Đương nhiên, tôi thấy phần đầu và phần cuối của địa chỉ trùng khớp với địa chỉ của tôi, nhưng tôi không kiểm tra phần giữa của địa chỉ.


'Nó nằm trong tài khoản cá nhân của tôi, với trạng thái Đang gửi', tôi nghĩ. Và cùng lúc đó, tôi chợt nghĩ, 'Không phải có virus trao đổi dữ liệu từ clipboard sao?'


Tôi đã so sánh địa chỉ đã sao chép với địa chỉ tôi đã dán - tất cả đều tốt. Chỉ có điều tôi không biết rằng các giao dịch lừa đảo vào ví của tôi có thể được hiển thị trong tài khoản cá nhân của tôi. Đặc biệt với trạng thái 'Đang gửi'.


Và như bạn có thể đoán, thưa các bạn, tôi đã xác nhận giao dịch và tặng cho một số hacker 100 nghìn USDT. Chỉ trong vài giây, chúng đã được chuyển qua máy trộn.


Đường đi của USDT bị đánh cắp

"Các giao dịch lừa đảo có thường xuất hiện trong lịch sử của chúng tôi không? Vậy hãy để mọi người có khả năng sao chép địa chỉ."


Địa chỉ rút tiền mong muốn của tôi: TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (tôi đã thay thế phần giữa bằng số 0 để đề phòng)


Địa chỉ lừa đảo: TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX


Mã nhận dạng TX: 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5


Sổ cái rất chu đáo, không chỉ hiển thị các giao dịch lừa đảo mà còn giúp sao chép địa chỉ từ lịch sử một cách dễ dàng. Chỉ vài giờ sau, tiêu đề giao dịch 'Đang gửi' và -100.000 USDT biến mất. Giao dịch đã trở thành một hình nộm. Một trường hợp rất thú vị.

Điểm

Vì vậy, ý nghĩa của bài viết này là gì? Có rất nhiều kẻ lừa đảo trên thế giới và trong lĩnh vực tiền điện tử, số lượng của chúng là vô số. Đó là thiên đường cho hacker, kẻ lừa đảo, kẻ trộm. Tôi coi bản thân Ledger là một công ty vô trách nhiệm. Và bây giờ tôi đã hiểu tại sao nhiều người sau khi sử dụng Ledger lại từ chối sử dụng nó. Có rất nhiều video trên mạng quay cảnh mọi người ném nó vào thùng rác.


Và như bạn có thể hiểu, những trường hợp như vậy thường xuyên xảy ra với mọi người. Ledger có thể thực hiện các bước để loại bỏ những lỗi bảo mật này không? Tất nhiên rồi. Nhưng vì lý do nào đó, họ không làm như vậy. Có lẽ nó không mang lại lợi nhuận cho họ?


Tại sao họ không thực hiện các bước sau:

1. Loại bỏ khả năng sao chép địa chỉ khỏi lịch sử giao dịch (phương pháp cơ bản nhất).

2. Thêm tính năng lọc địa chỉ.

3. Đánh dấu các giao dịch lừa đảo (như nhiều nhà thám hiểm và dịch vụ vẫn làm).

4. Thêm danh sách các địa chỉ được phê duyệt (nơi người dùng thêm 'Địa chỉ trắng' tương tự như các sàn giao dịch và các nền tảng khác. Khi gửi đến một địa chỉ ngoài danh sách này, một cửa sổ xác nhận sẽ xuất hiện, trong đó địa chỉ được viết bằng phông chữ lớn, cho biết rằng 'Địa chỉ này không có trong danh sách các địa chỉ được phê duyệt của bạn' và bạn nên kiểm tra lại kỹ lưỡng.

5. Để tương tác thường xuyên với cùng một địa chỉ - hãy thêm địa chỉ đó vào danh sách các địa chỉ được sử dụng thường xuyên.


Thay vào đó, họ có rất nhiều quảng cáo trong ứng dụng về các biến thể đặt cược khác nhau, hệ thống giới thiệu của họ, v.v.


Bộ phận Hỗ trợ Sổ cái gọi đây là 'Ngộ độc Địa chỉ' (ngộ độc địa chỉ). Đó là một điều rất phổ biến.


Đây là đường liên kết đến bài viết của họ , được cập nhật lần cuối vào tháng 8 năm 2023. Đã gần 5 tháng trôi qua kể từ đó và công ty vẫn chưa thực hiện bất kỳ bước nào nhằm loại bỏ các lỗ hổng.


Đây là một bài viết khác của họ , trong đó Kiến trúc sư phần mềm của họ mô tả quá trình Ngộ độc địa chỉ. Nhưng nó tuyên bố rằng những kẻ tấn công sử dụng mã thông báo Chuyển khoản với số tiền bằng 0 từ địa chỉ của mọi người. Có thể nói, Ledger đang không ngừng cải tiến hệ thống đối phó của mình. Nhưng trong trường hợp của tôi, số tiền chuyển khoản không hề bằng 0. Nó hoàn toàn khớp với số tiền chuyển.


Tất nhiên, trong thư phản hồi của họ, bộ phận hỗ trợ đã đính kèm một liên kết đến thỏa thuận người dùng . Đương nhiên, nó có tuyên bố từ chối trách nhiệm từ phía công ty, cũng như chuyển mọi trách nhiệm sang người dùng. Vì vậy, nếu trong ứng dụng Ledger Live, bạn thấy cửa sổ của họ có nội dung 'Đây là địa chỉ gửi tiền của bạn', nơi công ty chèn địa chỉ gửi tiền của riêng mình - thì trách nhiệm của bạn và chỉ là bạn không kiểm tra kỹ. Bất kể những gì được viết trong ứng dụng.


Tôi coi trường hợp của mình hoàn toàn tương tự - một giao dịch lừa đảo trong ứng dụng đã được đánh dấu:

  • với trạng thái Đang chờ xử lý,
  • số tiền giao dịch phù hợp - 100.000 USDT.


Đại đa số người dùng sẽ coi giao dịch này được gửi từ địa chỉ của họ và nghĩ rằng nó đang trong hàng chờ thực hiện (hoặc không thực hiện được).


Và cuối cùng. Chúng ta có thể nói về sự phân phối rộng rãi nào của sản phẩm? Theo ý kiến của họ, tất cả những người sử dụng nó đều biết hoặc nên biết về Ngộ độc Địa chỉ. Tôi hy vọng rằng sau bài viết của tôi, bạn sẽ ngừng sử dụng Ledger. Và nếu bạn chỉ đang xem xét nó, bạn sẽ từ bỏ ý tưởng này.


Lấy ngân hàng di động làm ví dụ. Nếu bạn chọn ai đó từ danh sách liên hệ của mình và chuyển tiền cho họ - có thể xảy ra trường hợp ứng dụng của ngân hàng hiển thị thông tin chi tiết của người khác cùng với thông tin đăng nhập đó không? Tôi dự định kiện công ty và nộp đơn khiếu nại lên cơ quan quản lý. Sự vô luật pháp như vậy không nên tồn tại. Hoặc họ nên quan tâm đến tính bảo mật của đơn đăng ký tài chính của mình - hoặc họ nên nộp phạt và bỏ đi chơi trong hộp cát.


PS: Cảm ơn bạn đã đọc! Hãy cẩn thận và thận trọng khi gửi giao dịch. Và đưa ra những lựa chọn có lợi cho những dịch vụ và công ty quan tâm đến tính bảo mật của dịch vụ của họ và hoạt động vì lợi ích của khách hàng.


Đối với tôi, Ledger là một ví dụ về một công ty hoàn toàn vô trách nhiệm và làm ngơ trước những vấn đề như vậy. Liên tục bị hack các dịch vụ của họ và làm mất khách hàng (Ledger Kit). Mục tiêu của tôi là phổ biến trường hợp này đến nhiều đối tượng nhất có thể để mọi người biết về thái độ của công ty đối với khách hàng của mình.