paint-brush
账本:一种不安全的货币存储和转移工具(或者如何利用它赔钱)经过@hackerclqhckc0c0000356yh2xd3ynv
1,648 讀數
1,648 讀數

账本:一种不安全的货币存储和转移工具(或者如何利用它赔钱)

经过 6m2024/01/05
Read on Terminal Reader

太長; 讀書

由于独特安全的 Ledger Live 应用程序(官方移动应用程序),我如何损失了 100K USDT。
featured image - 账本:一种不安全的货币存储和转移工具(或者如何利用它赔钱)
undefined HackerNoon profile picture
0-item
1-item

向读者问好。我想如果您正在阅读这篇文章,您就会以某种方式与加密货币联系起来。或者听说过莱杰。我希望这篇文章能帮助您保持安全。毕竟,Ledger 本身并不关心用户加密资产的安全。


我将描述我的情况,以及我如何通过独特安全的 Ledger Live 应用程序(官方移动应用程序)损失 100K USDT。


“保护您的加密货币的最明智的方式”——在他们的官方网站上宣称的口号。


“受到超过 600 万客户的信任”——以及大量的加密领域用户。”


我无法判断钱包本身的安全性。我使用 Ledger Nano X。如果他们的网站可信的话,它是他们武器库中最受欢迎的钱包。


黑客的伴侣


那么,让我们开始吧。碰巧的是,该事件发生在他们的 Ledger Kit 遭到黑客攻击几天后。毫不奇怪,因为安全远不是他们的首要任务。


但我的故事是关于他们的 Ledger Live——“Ledger 设备的配套加密应用程序”。

唯一的问题是,它是用户的伴侣还是黑客的伴侣?


问题是,我需要将 140K USDT 转入我的一个地址。我决定分两个阶段进行:首先,我转了40K,然后我打算转剩余的100K。令我惊讶的是,100K USDT 交易没有成功,并卡在应用程序中,状态为黄色“正在发送”-100,000 USDT。


发送诈骗交易状态(抱歉屏幕上显示俄语)


我的第一个想法是,“也许没有足够的 TRX 来支付交易费”,因为 Ledger Live 中的每笔交易都伴随着恼人的消息“能量低于必要水平”。您最多可以支付 50 TRX 的费用。这种所谓的能量是通过质押 TRX 来赚取的。 Tron 网络中的费用支付可以使用该能量或 TRX 代币进行。为什么用户在计划使用 TRX 进行 Gas 支付时需要不断查看能源信息,目前尚不清楚。但这不是重点。


接下来,我给我的 TRX 充值,然后回去,然后我犯了致命的错误。当然,如果创建者真的关心安全性,他们会对应用程序进行一些更改,我将在稍后写到。


我点击了状态为“正在发送”且金额为-100,000 USDT 的交易。


谁会想到我个人账户中的这样一笔交易实际上不是我的?当然,我看到了地址的开头和结尾与我的匹配,但我没有检查地址的中间。


“它在我的个人帐户中,状态为正在发送,”我想。与此同时,我突然想到,“难道不是有病毒会从剪贴板中交换数据吗?”


我将复制的地址与粘贴的地址进行了比较 - 一切都很好。只是,我不知道我的钱包的诈骗交易可能会显示在我的个人帐户中。特别是状态为“正在发送”时。


朋友们,正如你可能猜到的那样,我确认了交易并赠送给黑客 100K USDT。几秒钟之内,它们就已经通过了搅拌机。


USDT被盗的路径

“我们的历史中经常出现诈骗交易吗?然后让人们有复制地址的能力。”


我想要的提现地址:TKnjLgWCY5200001tKDZSLREpD1mTdFaaX(为了以防万一,我用零替换了中间)


诈骗地址:TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX


发送 ID:5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5


Ledger 非常体贴,不仅显示诈骗交易,还可以帮助轻松地从历史记录中复制地址。仅仅几个小时后,交易标题“发送”和-100,000 USDT就消失了。交易变成了假交易。一个非常有趣的案例。

积分

那么,这篇文章的重点是什么?世界上有很多诈骗者,在加密货币领域,他们的数量更是数不胜数。这是黑客、骗子、小偷的天堂。我认为Ledger本身就是一家不负责任的公司。现在我明白为什么许多人在使用 Ledger 后拒绝使用它。互联网上有很多人们把它扔进垃圾桶的视频。


正如你所理解的,这种情况经常发生在人们身上。 Ledger 能否采取措施消除这些安全缺陷?当然。但由于某种原因,他们没有。也许这对他们来说并不有利可图?


他们为什么不采取以下步骤:

1. 删除从交易历史记录中复制地址的功能(最基本的方法)。

2.添加地址过滤。

3. 突出显示诈骗交易(正如许多浏览器和服务所做的那样)。

4. 添加批准地址列表(用户添加类似于交易所和其他平台的“白色地址”。发送到此列表之外的地址时,应出现确认窗口,其中地址以大字体书写,说明“该地址不在您的批准地址列表中”,建议彻底重新检查。

5. 对于与同一地址的频繁交互 - 将其添加到常用地址列表中。


相反,他们在应用程序中提供了大量有关各种赌注变体、推荐系统等的广告。


Ledger 支持将此称为“地址中毒”(地址中毒)。这是一个非常受欢迎的事情。


这是他们文章的链接,该文章最后更新于 2023 年 8 月。自那时以来,已经过去了近 5 个月,该公司尚未采取任何措施来消除漏洞。


这是他们的另一篇文章,其中他们的软件架构师描述了地址中毒的过程。但它指出,攻击者使用人们地址中金额为零的 Transfer 代币。据称,Ledger 正在不断完善其对策系统。但就我而言,转账根本不是零。与转账金额完全一致。


当然,在他们的回复信中,支持人员附上了用户协议的链接。当然,它包含公司方面的免责声明,以及将所有责任转移给用户。因此,如果在 Ledger Live 应用程序中,您看到他们的窗口显示“这是您用于发送资金的地址”,其中该公司插入了自己的用于发送资金的地址,那么您没有仔细检查,这就是您的责任。无论应用程序中写什么。


我认为我的情况绝对相似 - 应用程序中的诈骗交易被标记为:

  • 处于待处理状态,
  • 撮合交易金额——100,000 USDT。


绝大多数用户会认为这笔交易是从他们的地址发送的,并认为它在队列中等待执行(或执行失败)。


最后。我们可以谈论产品的广泛分布吗?在他们看来,每个使用它的人都知道或者应该知道地址中毒。我希望看完我的文章后,您将停止使用 Ledger。如果你只是考虑一下,你就会放弃这个想法。


以手机银行为例。如果您从联系人列表中选择某人并向他们转账 - 银行的应用程序是否会显示其他人的详细信息以及这些凭据?我打算起诉该公司并向监管部门投诉。这种无法无天的现象不应该存在。他们要么应该关心其金融应用程序的安全,要么应该支付罚款并离开去玩沙盒。


PS:感谢您的阅读!发送交易时要小心谨慎。并做出有利于那些对其服务安全感兴趣并为客户利益而努力的服务和公司的选择。


对我来说,Ledger 就是一个完全不负责任、对此类问题视而不见的公司的例子。他们的服务不断遭到黑客攻击并导致客户流失(Ledger Kit)。我的目标是将这个案例传播给尽可能多的受众,让每个人都了解公司对待客户的态度。