Пятница , 20 Июль 2018

Уязвимость угрожает миллионам аппаратных кошельков Ledger

Согласно отчету, опубликованному в субботу, 3 февраля, компания Ledger обнаружила уязвимость, которая влияет на все ее устройства, и может привести к тому, что пользователи потеряют свои средства.

Аппаратные кошельки считаются одним из самых безопасных способов хранения биткоинов и других криптовалют. Устройства хранения данных USB исключают тип векторов атак, связанных с подключением к сети. Но для отправки средств или выдачи адреса получателя аппаратный кошелек должен быть подключен к устройству с поддержкой Интернета, и исследователи обнаружили уязвимость, которая влияет на устройства Ledger на данном этапе.

Согласно отчету, атака «человек в середине» (man in the middle) может быть выполнена, когда пользователь пытается создать адрес для получения биткоинов в свой кошелек Ledger. Если компьютер, который используется в этом процессе, заражен вредоносным ПО, злоумышленник может тайно заменить код, ответственный за создание адреса, в результате чего «все будущие депозиты будут отправлены злоумышленнику».

Как защитить себя

К счастью для владельцев кошельков, Ledger также проинформировал, как избежать атаки «человек в середине». Согласно отчету, пользователи должны использовать «undocumented» функцию кошелька, которая отображает принимающий адрес на физическом дисплее кошелька.

Нажав кнопку монитора в левом нижнем углу меню «Получить биткоины» и подтверждая адрес на дисплее аппаратного кошелька каждый раз, когда он генерируется новый, пользователи могут убедиться, что адрес не был изменен.

В отчете далее указывается, что эта функция не является обязательной и не применяется в собственном интерфейсе Ledger, что перекладывает главную ответственность за безопасность средств на самих пользователей.

Аппаратные кошельки считаются одним из самых безопасных способов хранения криптовалют, в отличие от их хранения в онлайн-обмене или кошельке.

Однако, более миллиона пользователей, использующих Ledger, были затронуты недавно обнаруженным вектором атаки, поэтому становится ясно, что даже наличие аппаратного кошелька не «делает вас непобедимым», по словам компании.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *