16:28

В кошельке Ledger обнаружена уязвимость, приводящая к списанию BTC вместо альткоинов

Разработчик Liquality Мохаммед Нохбех (Mohammed Nokhbeh) обнаружил уязвимость в аппаратном кошельке Ledger, которая приводит к списанию биткоинов вместо альткоинов. Разработчики представили отчет, в котором рассказали, как действует атака. Злоумышленник создает мнимую транзакцию с любыми альткоинами, во время которой у пользователей списываются биткоины. К примеру, у трейдера может складываться впечатление, что он пересылает 0.01 LTC, но фактически с его кошелька будет отправлено 0.01 BTC. Нохбех добавил, что аппаратные кошельки Ledger поддерживают несколько криптовалют с помощью специализированных приложений отдельно для каждого актива, но активировать можно только одно приложение. Оказалось, что внешние приложения могут получать доступ к данным о других криптовалютах даже из неактивных приложений. Исследователи обнаружили, что при использовании уязвимости, если пользователь открывает приложение для LTC, он получает запрос на подтверждение транзакции с биткоином, даже если не использует этот актив. При этом в интерфейсе будут отображаться данные для совершения сделки с LTC. При подтверждении такого запроса в сети Биткоина будет совершена полноценная подписанная транзакция. По словам разработчиков Liquality, Ledger был уведомлен об этой уязвимости еще в январе прошлого года, однако так и не устранил проблему. Однако Ledger сообщил, что всегда тщательно рассматривает все замечания исследователей. По словам Ledger, разработчики Liquality могли отправить сообщение о выявленных проблемах в другие отделы, которые не занимаются устранением багов. Комментируя отчет Liquality, Ledger признал, что приложение биткоина становится доступным при работе с другими криптоактивами. Производитель кошельков объяснил это поддержкой форков биткоина и других криптовалют, созданных на базе блокчейна Биткоина и имеющих общую историю. «В некоторых форках биткоина используются те же самые пути вывода (derivation paths), что и в биткоине. Если их не задействовать, люди просто не смогут использовать кошельки Ledger Nano S/X для работы с такими монетами. Разработчикам придется выбирать между безопасностью и удобством использования, чтобы средства клиентов не были заблокированы», - поясняет Ledger. Руководство Ledger сообщило, что в ближайшее время выпустит новую версию приложения для биткоина. В случае использования другого пути вывода, пользователи будут получать уведомления. В прошлом месяце эксперты Kraken Security Labs рассказали о новых возможностях атаки с изменением прошивки аппаратных кошельков Ledger Nano X, но эта проблема уже устранена.

• 17:00 5 разлоков токенов, за которыми стоит следить на следующей неделе
• 14:57 Майкл ван де Попп: Биткоину грозит сценарий Flash Crash
• 14:28 Криптовалюты растут после заявления «главного злодея»
• 13:05 Эксперт усомнился в успехе биткоин-политики MicroStrategy
• 12:35 4-летние циклы фондового рынка и биткоина: неожиданная синхронизация
• 11:32 Суд Нидерландов оставил создателя криптомиксера Tornado Cash под стражей
• 10:21 В Узбекистане токенизировали права на прибыль от продажи деревьев
• 09:44 Завьялов Илья Николаевич про Aerodrome. Рыночный взгляд (Ч.1).

И еще 5