Пользуясь уязвимостью аппаратных кошельков Ledger, хакеры заставляют пользователей тратить биткоины вместо альткоинов.

Согласно отчету, опубликованному разработчиком Liquality Мохаммедом Нохбехом, злоумышленники могут похитить биткоины из криптовалютных кошельков Ledger с помощью вредоносного ПО.

Преступник создает транзакцию, которая выглядит как платеж в альткоинах (монета, которая не является биткоином), тогда как на самом деле из кошелька выводится биткоин.

«Злоумышленник может использовать такой способ для перевода биткоинов, при этом пользователю кажется, что проводится транзакция с участием другого, не столь дорого альткоина (например, Litecoin, Testnet Bitcoins, Bitcoin Cash и т. д.)», — отметил Нохбех.

Это вызывает беспокойство, поскольку пользователь думает, что из кошелька выводится, например, 0.01 альткоина, а это может быть гораздо меньше, чем 0.01 биткоина.

«Сегодня будет выпущена новая версия биткоин-приложения с обновлением, которое будет отображать предупреждение и запрашивать подтверждение при использовании неожиданного маршрута, что позволит решить эту проблему», — заявил представитель Ledger (который позже подтвердил, что исправление уже запущено).

Ранее редакция BeInCrypto сообщала о том, что злоумышленники похитили у Ledger 1 млн электронных адресов.

Как это работает

По словам Нохбеха, в то время как аппаратные кошельки Ledger поддерживают несколько криптовалют, используя специальные приложения для каждой из них, в определенный момент времени активен только один кошелек. Но оказалось, что внешние приложения могут получить доступ к данным даже из заблокированных криптовалют.

«Выяснилось, что для биткоина и биткоин-форков устройство выполняет функции для любого из активов. Иными словами, разблокировав приложение Litecoin, вы получите запрос на подтверждение перевода биткоина, в то время как интерфейс отображает его как перевод лайткоинов на адрес Litecoin», — написал Нохбех, подчеркнув, что «после подтверждения осуществляется действительная подписанная биткоин-транзакция (основная сеть)».

Это означает, что устройства Ledger будут получать запросы на биткоин, даже если в данный момент используется другая криптовалюта, а не биткоин. Более того, такая сделка будет выглядеть как передача определенного альткоина. Нохбех также добавил, что это может привести к «серьезным последствиям».

В отчете говорится, что Ledger стало известно об уязвимости еще в январе 2019 года, но компания до сих пор не устранила ее.

Компромиссное решение

Комментируя отчет, Ledger признала, что, хотя криптовалютные приложения не могут обмениваться ключами, эта функция действительно не «использовалась для биткоин-приложения и большинства образованных от него альтернативных криптовалют, позволяя им (например, лайткоину) извлекать открытые ключи или подписывать биткоин-транзакции», чтобы избежать потенциальных проблем.

Причина в том, что многие криптовалюты возникли на основе биткоин-блокчейна, и их история тесно связана.