Обнародована информация о критической уязвимости кошельков Ledger Nano S
-
Студент Санкт-Петербургского политехнического университета Сергей Лаппо в своём блоге поделился информацией о критической уязвимости аппаратных крипто-кошельков Ledger Nano S. Изначально он связался с производителем в рамках программы по отлову багов в ноябре 2018 года, а в середине января Ledger выпустил прошивку версии 1.5.5, сообщив тогда, что она содержит исправление критической уязвимости в приложении для работы с биткоин-кошельками, но не уточнив подробностей. Теперь, когда проблема была решена и прошло достаточно времени, Лаппо решил раскрыть информацию о своём открытии.
Согласно его заявлению, скомпрометированный кошелёк может отправить злоумышленнику все доступные средства, в то время как пользователь будет пытаться инициировать небольшую транзакцию. При этом перед отправкой транзакции ничто не будет указывать на наличие проблемы.
Как известно, при отправке транзакции с биткоин-кошелька происходит расходование всех средств, содержащихся в одном или нескольких неизрасходованных выходах. Если размер запрошенной транзакции оказывается меньше суммы неизрасходованных выходов, в блокчейне генерируется новый адрес (так называемый change-адрес или адрес для сдачи), на который переводятся излишки средств, доступные для расходования в дальнейшем.
Кошельки Ledger Nano S в таком случае, однако, не удостоверялись в том, что остатки средств были зачислены на change-адрес, и не отображали второй выход, с которым, как предполагалось, должны были возвращаться эти средства, что открывало дополнительный вектор для осуществления атаки.
Лаппо также приложил видео, где показал, как при переводе биткоинов на $1 между кошельками происходит списание всех доступных средств в адрес стороннего кошелька.
-
интересно, сколько студент получил денег за свою находку. может теперь хватит на открытие собственного бизнеса?
-
Участник @ivan-ivanov написал в Обнародована информация о критической уязвимости кошельков Ledger Nano S:
интересно, сколько студент получил денег за свою находку. может теперь хватит на открытие собственного бизнеса?
ну не думаю что много он там получил ... иначе в блогах не постил бы
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio может для рекламы подойдет, теперь его на работу в хорошую фирму могут взять.
-
Участник @ivan-ivanov написал в Обнародована информация о критической уязвимости кошельков Ledger Nano S:
@casio может для рекламы подойдет, теперь его на работу в хорошую фирму могут взять.
да вряд ли он такой умный... просто парень заметил эту фигню ...странно что до этого некто ее не видел ...
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio это же не монета, лежащая на земле, что ее любой дурак увидеть может.
-
Участник @ivan-ivanov написал в Обнародована информация о критической уязвимости кошельков Ledger Nano S:
@casio это же не монета, лежащая на земле, что ее любой дурак увидеть может.
Ну как бы факт простой тут, можно сказать элементарный ....
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio если до этого его никто не видел, то трудно назвать этот факт простым.
-
Участник @ivan-ivanov написал в Обнародована информация о критической уязвимости кошельков Ledger Nano S:
@casio если до этого его никто не видел, то трудно назвать этот факт простым.
ну можно годами проходить мимо и не замечать очевидности ...
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio как раз в этом случае кошельки тестировались на предмет безопасности и мимо никто не проходил.
-
Участник @ivan-ivanov написал в Обнародована информация о критической уязвимости кошельков Ledger Nano S:
@casio как раз в этом случае кошельки тестировались на предмет безопасности и мимо никто не проходил.
главное что все исправили уже ...
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio да, это хорошо. но кто знает, сколько еще невыявленных ошибок есть.
-
что тут сказать молодец парень - а запостил думаю - для того чтобы ему заказы на проверку начали поступать - в надежде наверное.
-
Участник @andrei1990bit написал в Обнародована информация о критической уязвимости кошельков Ledger Nano S:
что тут сказать молодец парень - а запостил думаю - для того чтобы ему заказы на проверку начали поступать - в надежде наверное.
Да уже писал выше случайно ему там улыбнулось и он смог там баг найти.
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@andrei1990bit на работу точно возьмут в какую-то фирму, если конечно он сам захочет.
-
@casio знаешь честно я в случайности не особо верю - если ты родился и стал дураком - им и останешься. а если родился и стал умным - таким тебе и быть.
@ivan-ivanov он студент - подработка ему точно не помешает. -
@casio Как ему удалось найти этот баг - нам доподлино не известно. Может это было случайно, а может и вполне целенаправлено.
[Браузер РЕАЛЬНО платит в ВТС !] https://cryptotabbrowser.com/126494
Кран 1-100 сат/час.https://www.bestchange.com/?p=1L4m6LtB2ogvYBqYYZV1gNej9spvh94abJ
Немецкий кран ( 5 лет работы) http://yannik.biz/?ref=43519 -
@garryncha да и вот нам бы не факт удалось найти даже случайно - так что это говорит всё равно о тот что парень с головой.
-
@andrei1990bit Ну как минимум - он обладает некоторым багажом специальных знаний и умеет их применить.
-
@andrei1990bit хотя он может на фрилансе столько зарабатывать, что и основная работа не нужна окажется.
