Новая уязвимость аппаратных кошельков Ledger угрожает сохранности криптовалют пользователей

В аппаратных кошельках Ledger обнаружена уязвимость, которая может использоваться для взлома всех выпущенных компанией устройств, что неизбежно повлечет за собой потерю средств пользователями.

О новой угозе компания предупредила в Twitter 3 февраля.

To mitigate the man in the middle attack vector reported here https://t.co/GFFVUOmlkk (affecting all hardware wallet vendors), always verify your receive address on the device's screen by clicking on the "monitor button" pic.twitter.com/EMjZJu2NDh— Ledger (@LedgerHQ) February 3, 2018

Ledger сослалась на портал Docdroid. В сообщении поясняется, что атака типа «человек посередине» (означает перехват данных) может быть совершена при попытке пользователя создать новый адрес для получения биткоинов в кошельке Ledger. Если компьютер, используемый в процессе, заражен вредоносной программой, хакер может тайно подменить код генерации адреса, что позволит ему получать все переводы на собственный кошелек.

Как пользователям защитить свои кошельки?

К счастью, пользователи кошельков Ledger могут защитить себя от этой атаки. Компания дала несколько рекомендаций.

В своем отчете Ledger советует клиентам воспользоваться «незадокументированной» функцией кошелька, с помощью которой адрес получателя можно вывести на дисплей устройства.

Нажимая на кнопку на мониторе в меню получения перевода и проверяя появляющийся на дисплее устройства адрес, который каждый раз генерируется заново, пользователи могут убедиться в его корректности.

В отчете говорится, что эта проверка не является обязательной согласно документации Ledger. Таким образом компания возлагает основную ответственность за безопасность средств на самих пользователей.

Кроме того, данная функция распространяется только на получение биткоинов. Принимая на свой кошелек Ethereum, пользователь не сможет вывести адрес на дисплей устройства. Во избежание взлома при работе с Ethereum, предлагается загружать операционную систему при помощи Live CD.

Аппаратные кошельки считаются одним из самых безопасных способов хранения криптовалют, в отличие от онлайн кошельков или бирж.

Однако, как оказалось, наличие аппаратного кошелька не спасает пользователей от хакеров. Тот факт, что свыше 1 млн клиентов Ledger оказались под угрозой атаки стал подтверждением этого.