Wenige Tage nach der Datenpanne steht Ledger erneut im Rampenlicht, dieses Mal aufgrund einer Schwachstelle in Wallets, die es einem Angreifer ermöglicht, Bitcoin rechtmäßig auszugeben.
Monokh, ein Kryptographieforscher, veröffentlicht Auf seinem Blog wurde eine Sicherheitslücke entdeckt Brieftaschen Ledger, die es einem Angreifer ermöglichen, einen Benutzer dazu zu bringen, eine Transaktion zu signieren Bitcoin auf unfreiwillige, aber ebenso gültige Weise; eine Tatsache, die zweifellos zum Verlust von BTC-Geldern führen kann.
Der Forscher weist darauf hin, dass Ledger-Wallet-Geräte die Offenlegung ermöglichen öffentliche Schlüssel von Bitcoin in der Blockchain und die Funktionalität von Off-Chain-Signaturen bei Transaktionen mit Bitcoin-basierten Kryptowährungen, wie z Litecoin y Dash. Dies ist eine Schwachstelle, die von einem Angreifer ausgenutzt werden kann, um dem Opfer vorzutäuschen, dass es beispielsweise eine Transaktion in Litecoin unterschreibt, in Wirklichkeit würde es jedoch eine Transaktion in Bitcoin unterzeichnen.
„Das Gerät stellt den öffentlichen Bitcoin-Schlüssel (Mainnet) und die Signaturfunktion außerhalb der „Bitcoin“-Anwendung bereit. Es stellt irreführende Transaktionsbestätigungsanfragen dar, die die Adressen und Beträge des ausgewählten Antrags angeben, obwohl in Wirklichkeit verschiedene Transaktionen unterzeichnet werden.“
Monokh gibt an, dass durch die Ausnutzung dieser Schwachstelle bei der Bestätigung einer Litecoin-Transaktion an eine Litecoin-Adresse auch eine gültig signierte Bitcoin-Transaktion im Netzwerk bestätigt würde.
Es könnte Sie interessieren: Ledger berichtet über einen Hack, der in den letzten zwei Monaten Kundeninformationen preisgegeben hat
Monokh empfiehlt, die Funktionalitäten jeder Kryptowährung zu isolieren
In seiner Veröffentlichung stellt der Forscher fest, dass der Angriffsvektor in erster Linie auf das Design von Ledger-Wallets zurückzuführen ist, dass im Fall von Bitcoin alle Altcoins, die von der Hauptkryptowährung abgeleitet sind, den gleichen Weg zur Ableitung der Schlüssel nutzen. Dadurch werden sowohl die Schlüssel als auch die Funktionalität offengelegt. Zweitens weist der Forscher auch darauf hin, dass Ledger die Funktionalitäten der in den Wallets unterstützten Kryptowährungen nicht voneinander isoliert habe.
Erinnern wir uns daran Hardware-Wallets Ledger sind physische Geräte, die Benutzerschlüssel und Adressen der verschiedenen unterstützten Kryptowährungen speichern und verwalten. Da sie jedoch nicht voneinander isoliert sind, ermöglicht das Wallet-Gerät bei der Verarbeitung einer Transaktion in einer Bitcoin-basierten Kryptowährung die externe Kommunikation, um vertrauliche Informationen beim Entsperren eines Vermögenswerts für eine Übertragung, beim Offenlegen der Schlüssel, beim Signieren von Nachrichten und beim Bestätigen von Transaktionen anzufordern .
Aufgrund dieses ernsten Problems weist Monokh darauf hin, dass „Aus sicherheitstechnischer Sicht besteht die Erwartung darin Gesperrte Anwendungen sind für externe Nachrichten unantastbar“. Damit Benutzergelder völlig sicher in diesen Wallets gespeichert werden können, müssen Entwickler jede Anwendung und Funktionalität jeder der unterstützten Kryptowährungen in den Geräten isolieren und sperren. Wenn Sie also eine Transaktion mit einer bestimmten Kryptowährung durchführen, werden die restlichen Vermögenswerte automatisch gesperrt, um die gespeicherten Gelder zu schützen.
Ledger erkennt die Schwachstelle, konnte sie jedoch nicht beheben
Angesichts der Veröffentlichung des Forschers räumte Ledger ein, dass er Kenntnis von der Sicherheitslücke hatte, eine Realität, die als noch schwerwiegender angesehen wird als die Sicherheitslücke selbst, da die Wallet-Entwickler zu keinem Zeitpunkt davor gewarnt haben und die Geräte zu keinem Zeitpunkt Fehler oder Warnungen angezeigt haben Durchführung und Bestätigung einer irreführenden Transaktion.
El freigeben Der vom Unternehmen ausgestellte Beamte erkennt an, dass:
„Diese Pfadbeschränkung wurde für die Bitcoin-Anwendung und die meisten ihrer Derivate nicht durchgesetzt, was es einem Bitcoin-Derivat (z. B. Litecoin) ermöglicht, öffentliche Schlüssel zu erhalten oder Bitcoin-Transaktionen zu signieren.“
In Anspielung auf die in den Roadmaps anderer Kryptowährungen vorgesehene Einschränkung, die, da sie nicht miteinander verwandt sind, die Ableitung von Schlüsseln oder Signaturen nicht zulassen, im Fall von Bitcoin und seinen abgeleiteten Altcoins, die dieselbe Roadmap teilen, heißt es in der Mitteilung external, wenn es die Ableitung von Schlüsseln und Signaturen ermöglicht. Nachdem Ledger die vorliegende Schwachstelle eingestanden und erläutert hat, bekräftigt er ebenfalls, dass die Lösung dieser Schwachstelle für Entwickler ein wirklich schwieriges Problem sei, und weist darauf hin, dass es sich dabei um ein Problem handele, das zwischen der Sicherheit der Benutzer und der Benutzerfreundlichkeit des Wallets diskutiert werde.
„Einige BTC-Forks verwenden denselben Fork-Pfad wie BTC. „Wenn wir verhindern, dass diese Forks den BTC-Bypass-Pfad nutzen, würde dies einfach verhindern, dass Benutzer den Ledger Nano S/X mit diesen Forks verwenden.“
Angesichts der Aussagen von Ledger argumentiert Monokh, dass es schlichte Fahrlässigkeit seitens des Unternehmens sei, von diesem Fehler seit mehreren Monaten zu wissen und ihn nicht zu beheben, und ein Mangel an Respekt gegenüber den Tausenden von Benutzern, die wie er ihr Vertrauen in das Produkt gesetzt hätten.
„Die vielleicht schockierendste Schlussfolgerung ist Ledgers Nachlässigkeit bei der Behandlung dieses Problems. Bei einem Problem dieser Schwere ist es respektlos gegenüber dem Vertrauen, das die Menschen (ich eingeschlossen) in sie gesetzt haben, wenn man nicht versucht, eine Lösung zu finden, Fortschritte nicht zu kommunizieren und Offenlegung zu vermeiden.“
Weiterlesen: Kraken Security Labs hat eine Sicherheitslücke in Ledger-Hardware-Wallets entdeckt
