В криптокошельке Ledger обнаружена очередная критическая уязвимость

В криптокошельке Ledger обнаружена очередная критическая уязвимость

В аппаратном кошельке Ledger обнаружена уязвимость, которая может привести к потере биткоинов пользователями. Информацию о ней раскрыл исследователь проблем безопасности Мохаммад Нохбех.

Для осуществления атаки злоумышленник может создать транзакцию, которая будет выглядеть как транзакция альткоина, однако в действительности приведет к списанию биткоинов с кошелька пользователя.

«Организатор атаки может воспользоваться этим методом для перевода биткоина, в то время как у пользователя будет впечатление, что осуществляется транзакция другого, менее ценного альткоина (например Litecoin, биткоина в тестовой сети, Bitcoin Cash и так далее)», – пишет Нохбех.

Например, пользователь может думать, что отправляет 0,01 LTC, когда в действительности с его кошелька будет списано 0,01 BTC.

Эксперт пояснил, что аппаратные кошельки Ledger используют несколько специализированных приложений, отдельно для каждой криптовалюты, из которых активным в определенный момент может быть только одно. При этом, как оказалось, внешние сервисы могут обращаться даже к тем приложениям, которые в данный момент неактивны.

«Было обнаружено, что для биткоина и форков биткоина устройство предоставляет функции при работе с любым активом. Другими словами, разблокировав приложение для Litecoin, вы получите запрос на подтверждение перевода биткоина, в то время как интерфейс будет отображать перевод и адрес Litecoin. Если принять этот запрос, будет отправлена полностью действительная подписанная транзакция в основной сети биткоина», – заявил Нохбех.

В Ledger признали наличие проблемы, пообещав выпустить новую версию приложения для работы с биткоином, которая будет отображать предупреждение в случае выявления нестандартного пути осуществления транзакции. В компании пояснили, что доступность приложения биткоина при работе с другими криптовалютами обусловлена особенностью реализации поддержки форков первой криптовалюты, разделяющих с ней общую историю транзакций.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *