Un raport publicat de dezvoltatorul Mohammed Nokhbeh de la Liquality a descris o vulnerabilitate a portofelului Ledger. Este vorba despre modul de funcționare al aplicației mobile asociate cu portofelul. Nokhbeh a explicat că un hacker poate păcăli utilizatorul prin generarea unei tranzacții de altcoin, dar care de fapt va genera un transfer de Bitcoin.
Vulnerabilitate Ledger in aplicatie
Portofelele hardware Ledger acceptă mai multe criptomonede prin intermediul aplicațiilor specializate individuale. În teorie, doar una dintre ele ar putea fi activă la un moment dat. Nokhbeh a demonstrat că aplicațiile externe pot obține acces la datele din criptomonedele blocate.
„Un atacator poate exploata această metodă pentru a transfera Bitcoin în timp ce utilizatorul are impresia că se execută o tranzacție cu un alt altcoin mai puțin valoros (de exemplu, Litecoin, Testnet Bitcoins, Bitcoin Cash etc.)”, a explicat dezvoltatorul.
„S-a descoperit că, pentru Bitcoin și fork-urile acestuia (precum Bitcoin Cash), dispozitivul expune funcțiile sale pentru oricare dintre activele cripto. Cu alte cuvinte, după ce ai deblocat aplicația Litecoin, vei primi o solicitare de confirmare a unui transfer de Bitcoin, dar interfața o prezintă ca un transfer de Litecoins către o adresă Litecoin. Confirmarea produce o tranzacție Bitcoin (mainnet)”.
Aceasta înseamnă că dispozitivele Ledger vor primi solicitări legate de Bitcoin, chiar dacă Bitcoin nu este criptomoneda folosită la momentul respectiv. Interfața va prezenta o astfel de tranzacție ca un transfer de altcoin. Nokhbeh a adăugat că aceasta vulnerabilitate Ledger poate genera „implicații grave”.
Echipa Ledger a fost anuntata
El a susținut că a avertizat Ledger cu privire la vulnerabilitate încă din ianuarie 2019, dar producătorul de portofel încă nu a remediat-o.
Echipa Ledger a declarat că un update implementat cu câteva zile în urmă rezolvă această problemă. Este vorba despre un prompt care avertizează utilizatorul cu privire la tranzacțiile ”ce urmează o cale neobișnuită”.
Testeaza BRAVE, castiga BAT si sustine revista noastra!
Ledger a recunoscut că, deși portofelele sale asigură chei individuale pentru aplicațiile de criptomonede, acest lucru nu a fost aplicat pentru aplicația Bitcoin și pentru fork-urile acestora. Acest lucru înseamnă cu un derivat al Bitcoin (de exemplu, Litecoin) poate semna tranzacții Bitcoin. Justificarea companiei este că o separare ar face ca fork-urile BTC să nu poată fi folosite cu portofelul Ledger. Potrivit celui mai recent Buletin de securitate al companiei, dezvoltatorii au fost nevoiți să aleagă între securitate și capacitatea de utilizare:
„Unele fork-uri BTC folosesc aceeași cale de derivare ca BTC. Dacă am bloca aceste fork-uri să folosească calea de derivare BTC, aceasta ar împiedica pur și simplu utilizatorii să utilizeze Ledger Nano S / X pentru a gestiona aceste criptomonede”,
a explicat Ledger.