В кошельке Ledger обнаружена уязвимость, приводящая к списанию BTC вместо альткоинов
Разработчик Liquality Мохаммед Нохбех (Mohammed Nokhbeh) обнаружил уязвимость в аппаратном кошельке Ledger, которая приводит к списанию биткоинов вместо альткоинов. Разработчики представили отчет, в котором рассказали, как действует атака. Злоумышленник создает мнимую транзакцию с любыми альткоинами, во время которой у пользователей списываются биткоины. К примеру, у трейдера может складываться впечатление, что он пересылает 0.01 LTC, но фактически с его кошелька будет отправлено 0.01 BTC. Нохбех добавил, что аппаратные кошельки Ledger поддерживают несколько криптовалют с помощью специализированных приложений отдельно для каждого актива, но активировать можно только одно приложение. Оказалось, что внешние приложения могут получать доступ к данным о других криптовалютах даже из неактивных приложений. Исследователи обнаружили, что при использовании уязвимости, если пользователь открывает приложение для LTC, он получает запрос на подтверждение транзакции с биткоином, даже если не использует этот актив. При этом в интерфейсе будут отображаться данные для совершения сделки с LTC. При подтверждении такого запроса в сети Биткоина будет совершена полноценная подписанная транзакция. По словам разработчиков Liquality, Ledger был уведомлен об этой уязвимости еще в январе прошлого года, однако так и не устранил проблему. Однако Ledger сообщил, что всегда тщательно рассматривает все замечания исследователей. По словам Ledger, разработчики Liquality могли отправить сообщение о выявленных проблемах в другие отделы, которые не занимаются устранением багов. Комментируя отчет Liquality, Ledger признал, что приложение биткоина становится доступным при работе с другими криптоактивами. Производитель кошельков объяснил это поддержкой форков биткоина и других криптовалют, созданных на базе блокчейна Биткоина и имеющих общую историю. «В некоторых форках биткоина используются те же самые пути вывода (derivation paths), что и в биткоине. Если их не задействовать, люди просто не смогут использовать кошельки Ledger Nano S/X для работы с такими монетами. Разработчикам придется выбирать между безопасностью и удобством использования, чтобы средства клиентов не были заблокированы», - поясняет Ledger. Руководство Ledger сообщило, что в ближайшее время выпустит новую версию приложения для биткоина. В случае использования другого пути вывода, пользователи будут получать уведомления. В прошлом месяце эксперты Kraken Security Labs рассказали о новых возможностях атаки с изменением прошивки аппаратных кошельков Ledger Nano X, но эта проблема уже устранена.
- 12 Авг, 05:41
Citrix устранила уязвимость в системе управления корпоративной мобильностью XenMobile, обнаруженную Positive Technologies
Эксперт Positive Technologies Андрей Медов обнаружил уязвимость в системе управления корпоративными мобильными устройствами Citrix XenMobile . При переходе по специально сформированному адресу злоумышленник мог читать произвольные файлы, находящиеся ...
- 7 Авг, 09:05
Chainalysis: пользователи из Северной Америки предпочитают торговать BTC, а не альткоинами
Биткоин лидирует по объемам торгов во всем мире, однако, согласно исследованию компании Chainalysis, именно пользователи из Северной Америки любят торговать первой криптовалютой больше остальных. В отчете аналитики отмечают, что жители Северной Амери...
- 5 Авг, 18:38
В криптокошельке Ledger обнаружена критическая уязвимость
«Было обнаружено, что для биткойна и форков биткойна устройство предоставляет функции при работе с любым активом. Другими словами, разблокировав приложение для Litecoin, вы получите запрос на подтверждение перевода биткойна, в то время как интерфейс ...
- 29 Июл, 08:42
Производитель кошельков Ledger сообщил об утечке данных клиентов
Об уязвимости компании 14 июля сообщил специалист, который участвуюет в баг-баунти программе Ledger. Компания провела внутреннее расследование, в ходе которого выяснилось, что 25 июня злоумышленник получил доступ к базе данных маркетингового отдела к...
Cегодня
В мире за неделю
-
30 Май, 23:09+5 Илон Маск опроверг «звание» консультанта Трампа по криптовалютам
-
30 Май, 13:53+5 Криптоаналитик: DOGE может вырасти до $0,322 в одном случае От Happy Coin News
-
30 Май, 09:45+6 Виталик Бутерин назвал L2-решения «культурным продолжением» Ethereum
-
29 Май, 07:46+6 Суд приговорил экс-директора FTX Райана Саламе к 7,5 годам тюрьмы
-
29 Май, 07:01+4 Суд закрыл дело против Debt Box и обязал SEC заплатить штраф $1,75 млн
-
27 Май, 21:14+5 OCP Capital: Эфир сможет рассчитывать на поддержку на уровне $3000
-
27 Май, 04:22+4 В ОАЭ пригрозили штрафами на майнинг криптовалют на фермах
-
26 Май, 05:48+4 После легализации Ethereum-ETF ожидается то же самое для SOL
-
19 Май, 08:52+5 K33: «Выплаты кредиторам биржи FTX могут вызвать на рынке бычий эффект»