По словам специалистов, так хакерская атака может быть выполнена в момент подключения кошелька к сети для отправки средств или загрузки адреса получателя. Злоумышленник может получить доступ к кошельку, скрыто подменить код отправления платежа и пользователь фактически сам переведет ему деньги при следующей транзакции. Вероятнее все средства, что хранятся у клиента в кошельке.
“Если компьютер, который используется в этом процессе, заражен вредоносным ПО, злоумышленник может тайно подменить код, ответственный за создание адреса, в результате чего все будущие депозиты будут отправлены злоумышленнику”, — говорится в отчете.
Спасение утопающих…
Тем не менее, эксперты утверждают, что пользователи могут защититься от уязвимости. Для этого необходимо использовать функцию «Недокументированное», отображающую адрес получателя на физическом дисплее кошелька.
To mitigate the man in the middle attack vector reported here https://t.co/GFFVUOmlkk (affecting all hardware wallet vendors), always verify your receive address on the device’s screen by clicking on the “monitor button” pic.twitter.com/EMjZJu2NDh
— Ledger (@LedgerHQ) 3 февраля 2018 г.
«Каждый раз при генерации нового адреса в меню «Получить биткоины» необходимо нажать на кнопку с изображением монитора в нижнем углу и подтвердить адрес на дисплее аппаратного кошелька. Только так пользователи могут убедиться, что адрес не был изменен», — отметили представители компании.
Аппаратные кошельки традиционно считаются одним из наиболее надежных способов хранения биткоина и других криптовалют. Однако, как признает сама компания, даже они не делают пользователей максимально защищенным от угроз, и здравый смысл наряду с соблюдением базовых принципов безопасности по-прежнему важны.
With great powers come great responsibility. A reminder about why hardware wallets do not make you invincible and still require the use of common sense. Please read our basic security principles article https://t.co/gH1g0SAu0P pic.twitter.com/MRsdNiy6t8
— Ledger (@LedgerHQ) 4 февраля 2018 г.
Напомним, в декабре 2017 года разработчики Ledger сообщили о проблемах с инфраструктурой. Тогда на фоне активного роста большинства ведущих криптовалют сервера платформы стали недоступны на несколько часов из-за повышенного трафика.
Сейчас Ledger работает над новым решением Ledger Vault для управления криптоактивами. Этот продукт будет ориентирован на крупных институциональных инвесторов, включая банки и хедж-фонды.