Хотите всегда оставаться в курсе событий? Подписывайтесь на @cryptochan и получайте новости в нашем Telegram канале.
×
Главная » #STREAM » Новости криптовалют за 01.03.2019
10:57

Обнародована информация о критической уязвимости кошельков Ledger Nano S

Студент Санкт-Петербургского политехнического университета Сергей Лаппо в своём блоге поделился информацией о критической уязвимости аппаратных крипто-кошельков Ledger Nano S. Изначально он связался с производителем в рамках программы по отлову багов в ноябре 2018 года, а в середине января Ledger выпустил прошивку версии 1.5.5, сообщив тогда, что она содержит исправление критической уязвимости в приложении для работы с биткоин-кошельками, но не уточнив подробностей. Теперь, когда проблема была решена и прошло достаточно времени, Лаппо решил раскрыть информацию о своём открытии. Согласно его заявлению, скомпрометированный кошелёк может отправить злоумышленнику все доступные средства, в то время как пользователь будет пытаться инициировать небольшую транзакцию. При этом перед отправкой транзакции ничто не будет указывать на наличие проблемы. Как известно, при отправке транзакции с биткоин-кошелька происходит расходование всех средств, содержащихся в одном или нескольких неизрасходованных выходах. Если размер запрошенной транзакции оказывается меньше суммы неизрасходованных выходов, в блокчейне генерируется новый адрес (так называемый change-адрес или адрес для сдачи), на который переводятся излишки средств, доступные для расходования в дальнейшем. Кошельки Ledger Nano S в таком случае, однако, не удостоверялись в том, что остатки средств были зачислены на change-адрес, и не отображали второй выход, с которым, как предполагалось, должны были возвращаться эти средства, что открывало дополнительный вектор для осуществления атаки. Лаппо также приложил видео, где показал, как при переводе биткоинов на $1 между кошельками происходит списание всех доступных средств в адрес стороннего кошелька. Вместе с тем, на Reddit можно найти ряд жалоб от владельцев Ledger Nano S, заявляющих, что прошивка версии 1.5.5, являющаяся актуальной на данный момент, превратила их устройства в «кирпич». Для решения проблемы Ledger выпустила специализированный инструмент, который, судя по комментариям в сети, работает не во всех случаях, из-за чего пользователям приходится обращаться в службу поддержки в индивидуальном порядке. Фото: andersphoto

Обсудить в чате
Похожие новости

В мире за неделю

Pro banner