Дмитрий Кузюк

14 декабря 2023 года в программном обеспечении от производителей аппаратных кошельков Ledger была обнаружена уязвимость, которая позволила хакеру украсть около 600 тысяч долларов в криптовалюте. В итоге проблему исправили, а руководитель компании Паскаль Готье заявил, что компания компенсирует потери всем пострадавшим. Теперь на её официальном аккаунте в Твиттере было опубликовано детальное обращение по поводу инцидента. Оказывается, Ledger внесёт некоторые поправки в особенности работы своего программного обеспечения, а также вернёт деньги — причём всё это с чётко указанными сроками. Рассказываем о важной ситуации подробнее.

Важно понимать, что хак пришёлся на библиотеку коннектора Ledger Connect Kit, который необходим для подключения криптовалютного кошелька к децентрализованным приложениям. Проблема не затронула аппаратные кошельки Ledger или приложение Ledger Live, позволяющее проводить операции с помощью собственного устройства.

Соответственно, пользоваться ими по-прежнему безопасно. Ну а смысл создавать новый набор адресов после генерации новой сид-фразы тоже отсутствует.

Аппаратный кошелёк Ledger Nano X

Однако пользователи коннектора потеряли немалую сумму в эквиваленте сотен тысяч долларов. Поэтому французский производитель был вынужден отреагировать на ситуацию, что он и сделал.

Безопасно ли пользоваться Ledger?

Утром 14 декабря злоумышленник совершил успешную фишинговую атаку на одного из сотрудников Ledger. Через него хакеру удалось получить доступ к аккаунту жертвы в NPMJS, менеджере пакетов Javascript.

Далее злоумышленник воспользовался особыми правами и опубликовал вредоносную версию программной библиотеки Ledger Connect Kit. Речь идёт о так называемом коннекторе, который позволяет пользователям криптовалютных кошельков подключать их к различным децентрализованным приложениям.

После публикации вредоносного программного обеспечения оно было активировано и добралось до ничего не подозревающих клиентов.

Признаки хакерской атаки

Это позволило хакеру перенаправлять средства жертв на свой кошелёк с помощью вредоносной версии коннектора. Данный процесс длился чуть больше двух часов, после чего представители Ledger заметили уязвимость. На решение проблемы ушло около 40 минут, однако из-за особенностей работы программного обеспечения весь процесс замены мошеннического ПО на подлинное занял около 5 часов.

😈 БОЛЬШЕ ИНТЕРЕСНОГО МОЖНО НАЙТИ У НАС В ЯНДЕКС.ДЗЕНЕ!

Для минимизации последствий атаки Ledger прибегнула к помощи Tether: эмитент крупнейшего стейблкоина заморозил украденные хакером USDT. Информацию об этом подтвердил в Твиттере генеральный директор Tether Паоло Ардоино.

Твит о заморозке USDT на кошельке хакера Ledger

Согласно данным источников Decrypt, пострадавшие от атаки пользовались для проведения транзакции методом слепой подписи транзакций. Иначе говоря, они проводили переводы, не зная, какой именно окажется реальная транзакция. А поскольку во взломанной библиотеке Ledger Connect Kit был внедрён так называемый дрейнер, последний менял криптовалютные адреса получателя транзакций на кошелёк хакера.

В обращении Ledger отмечено, что пострадавшие получат свои компенсации в ближайшее время. Вот соответствующая реплика из твита сотрудников компании.

Наш генеральный директор и председатель совета директоров Паскаль Готье убедится, что жертвы инцидента 14 декабря 2023 года получат компенсацию в полном объёме, включая пользователей, которые не являются клиентами Ledger. Мы обязуемся любыми возможными способами, включая жесты доброй воли, сделать так, чтобы данный процесс завершился к концу февраля 2024 года. Мы уже связались со многими пострадавшими пользователями и активно работаем с ними над конкретными вопросами.

Напомним, особенностью аппаратных кошельков Ledger является наличие экрана. Он не подключается к интернету, в связи с чем на него невозможно повлиять снаружи. Это значит, что дисплей устройств данной компании будет показывать настоящие данные в отношении проводимой транзакции, так что хакер не сможет незаметно заменить адрес получателя на свой.

К примеру, вот наша фотография с отправкой криптовалюты Solana SOL в стейкинг. Устройство показывает сумму транзакции, адрес и прочие детали — это и есть прозрачная подпись.

Уведомление о стейкинге SOL в Ledger

Однако не все децентрализованные приложения её поддерживают. Это значит, что, к примеру, при обмене криптовалюты SOL на токен BONK через знакомый нам кошелёк Phantom с кошельком Ledger Nano X последний покажет разве что хеш транзакции и сообщит о неподдерживаемом типе операции. Соответственно, пользователь будет вынужден доверять платформе и одобрять транзакцию вслепую, то есть не видя её реальных деталей.

Этим и воспользовался хакер в середине декабря. В данном случае пользователи Ledger Connect Kit с аппаратными кошельками не могли проверить правдивую информацию о транзакции и по сути попросту отправляли свои монеты хакеру.

Руководитель компании Ledger Паскаль Готье

К июню 2024 года Ledger планирует полностью избавиться от метода слепой подписи, а значит аппаратные кошельки в теории могут перестать работать с платформами, создатели которых не поддерживают прозрачную подпись. Как отметили сотрудники компании, они будут активно взаимодействовать с разработчиками популярных протоколов для максимально активного внедрения прозрачного способа подписи транзакций.

Также в объявлении отмечено, что защита от подобного рода атак всегда будет оставаться на пользователе. Вот реплика.

Фронтенд-атаки происходили уже много раз, и они ещё долго будут досаждать нашей экосистеме. Единственная надёжная мера противодействия этому типу атак – всегда проверять, на что вы соглашаетесь на своём устройстве. Это возможно только с помощью метода прозрачной подписи. То есть вы можете видеть и проверять, что именно вы подписываете, на защищённом экране.

Способ взлома Ledger Connect Kit тоже вызывает удивление. Как мы отмечали раньше, хакер провёл атаку на бывшего сотрудника Ledger, который уже не работает в компании. Почему у него до сих пор был доступ к упомянутой библиотеке — неизвестно.

Аппаратный кошелёк Ledger Stax

Ранее компания уже несколько раз сталкивалась с критикой из-за не лучших решений менеджмента. Например, в 2020 году была взломана база данных клиентов Ledger в распоряжении другой компании, в результате чего было скомпрометировано множество электронных адресов пользователей вместе с их номерами телефонов и место жительства.

В начале этого года компания также пыталась запустить сервис восстановления сид-фразы под названием Ledger Recover, однако из-за сомнительной коммуникации релиз решили перенести. Сам он уже состоялся.

Сложившаяся ситуация оказалась неприятной, однако её исход всё же довольно неплохой. Во-первых, Ledger компенсирует убытки, а значит жертвы хака смогут вернуть свои деньги. Во-вторых, спустя полгода аппаратные кошельки компании перестанут работать на основе слепой подписи. Соответственно, у пользователей таких девайсов будет куда меньше возможностей для потери криптоактивов.

Хотите быть в курсе других важных новостей индустрии? Присоединяйтесь к нашему крипточату. Там поговорим и на другие важные темы, связанные с индустрией децентрализованных активов и блокчейна.

• # Bitcoin 7300
• # Scam 552
• # Альткоин 3702
• # Блокчейн 5970
• # Железо 268
• # Криптовалюта 9722
• # Трейдинг 3256
• # Хакер 617

Наши соцсети

• Канал с новостями
• Чат о криптовалютах
• Чат о железе и майнинге

Нашмайнинг-пул

• Ферм онлайн —
• Майнеров онлайн —
• Начать майнить

Новости по теме

Февраль для 2Miners: обновления нод и халвинг вознаграждений в сети Flux

Ноябрь для 2Miners: важные обновления и подготовка к запуску новой криптовалюты Лонгриды для вас Инвестиционный гигант ARK Invest будет и дальше покупать криптовалюты. Почему? Дмитрий Кузюк

Генеральный директор инвестиционной компании ARK Invest Кэти Вуд в очередной раз выразила оптимизм относительно долгосрочного будущего Биткоина и других криптовалют. Своими мыслями о дальнейшем пути крипторынка она поделилась во время мероприятия Lyceum Miami. Доводы Вуд в пользу крипты всем хорошо известны – защита от инфляции, диверсификация инвестиций и независимость от действий властей. Рассказываем о точке зрения инвестора подробнее.

Правительство США начинает формировать чёрный список Биткоин-адресов. С чем связано обострение? Валик Ткач

В среду министерство финансов США выдвинуло санкции против трёх предполагаемых китайских «наркоторговцев», которые, по утверждению правительства, использовали Биткоин для отмывания незаконно полученных доходов. Впоследствии Управление по контролю за иностранными активами (OFAC) добавило ещё 11 Биткоин-адресов и 1 адрес в сети Лайткоина в свой «список специально обозначенных национальных лиц». Это означает, что теперь ни одно лицо и ни одна компания в США не могут сотрудничать с этими адресами (кошельками).

Законопроект главного противника криптовалют в Сенате поддержали новые политики. Есть ли здесь угроза для Биткоина? Дмитрий Кузюк

Ещё пять американских политиков поддержали Закон о борьбе с отмыванием денег с помощью цифровых активов, разработанный сенатором Элизабет Уоррен. У неё уже сформировалась ужасная репутация хейтера криптовалют, ну а теперь политик пытается продвинуть к утверждению свой законопроект, который по-настоящему вредит развитию индустрии блокчейна и децентрализованных активов. Рассказываем о ситуации подробнее.

Источник: 2bitcoins.ru