14 декабря разработчики аппаратных кошельков Ledger сообщили о компрометации библиотеки ПО, которую используют децентрализованные приложения — хакер смог заменить подлинную версию Ledger Connect Kit (библиотека, которая используется для подключения Ledger Live) на фейковую.
Размещенный вредоносный файл просуществовал около 5 часов, но промежуток, в котором происходила кража средств, команда оценила в 2 часа. Для вывода активов злоумышленник задействовал WalletConnect.
Проблема затронула многие крупные критосервисы — на скрине ниже модальное окно подключения кошелька, где можно увидеть вредоносное всплывающее окно Connect Wallet, которое открывается поверх настоящего окна авторизации.
CEO компании Паскаль Готье в открытом письме сообществу подтвердил, что эксплойт стал результатом фишинговой атаки на бывшего сотрудника, и добавил, что это «досадный единичный случай, который напоминает о необходимости поднимать планку безопасности вокруг dapps, несмотря на внедренные механизмы в компаниях».
Пользователь потерял 100 000 USDT
Однако, сегодня нам написал пользователь и сообщил, что Ledger — совсем небезопасно. Человек потерял 100 000 USDT спустя пару дней после взлома их LedgerKit. И конечно детально описал ситуацию.
Потерпевшему нужно было перевести 140 000 USDT на один из своих адресов, он решил сделать это в 2 этапа: перевел сначала 40 000 USDT, а потом хотел перевести оставшиеся 100 000 USDT — но на удивление, транзакция в 100 000 USDT не прошла и висела в приложении со статусом «Отправка»:
Пользователь решил, что у него нет TRX, необходимого для оплаты комиссии транзакции — пополнил счет TRX и зашел еще раз.
Юзер кликнул на транзакцию, которая висела со статусом «Отправка» объемом 100 000 USDT.
Кто бы мог подумать, что такая транзакция в его личном кабинете на самом деле не его — он увидел начало и конец адреса идентичные его адресу, а середину адреса не проверил. Сравнил скопированный адрес со вставленным — все нормально. Вот только он не знал, что в личном кабинете могут отображаться скам-транзакции на его кошелек. Тем более там висел статус «Отправка».
И как можете догадаться, пользователь подтвердил транзакцию и подарил какому-то хакеру 100 000 USDT — в считанные секунды они уже ушли через миксер.
Цепочка воровства
Желаемый адрес вывода : TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (заменил середину нулями на всякий случай).
Скам-адрес : TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX
TX id: 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5
Ledger мало того, что отображает скам-транзакции, так еще и помогает беспрепятственно копировать адреса из истории.
Спустя пару часов шапка транзакции «Отправка» и -100 000 USDT исчезли. Транзакция стала пустышкой.
Вредоносное ПО для подмены криптоадреса
Стоит отметить, что на официальном сайте есть статья под названием ВРЕДОНОСНОЕ ПО ДЛЯ ПОДМЕНЫ КРИПТОАДРЕСА, где представители компании рассказывают о вредоносных программах, известных как свитчеры адресов.
Данная разновидность вредоносного ПО может заразить ПК (пользователь сообщил, что переводил с мобильного устройства) и привести к потере средств — особенно если быть невнимательным при подтверждении транзакций.
Вредоносная программа срабатывает при каждом копировании в буфер обмена любой строки из букв и цифр, которая напоминает адрес в сети определённой криптовалюты. После копирования адреса вредоносная программа подменяет его в буфере обмена другим адресом, который при этом принадлежит злоумышленнику.
Представим, что вы собираетесь отправить 1 BTC на криптобиржу. В таком случае необходимо зайти на биржу и скопировать депозитный адрес биржи для Bitcoin. Далее переходим в Ledger Live, выбираем отправку 1 BTC и указываем адрес из буфера обмена. Внимательный пользователь наверняка заметит, что адрес был подменён другим. В таком случае вместо отправки на биржу криптоактивы могут уйти прямо на кошелёк мошенника.
Для предотвращения отправки криптоактивов на чужой адрес выполняйте следующую процедуру:
- Проверяйте детали транзакции по типу адреса и суммы перевода на устройстве Ledger перед подтверждением транзакции.
- Проводите полное сканирование устройств на наличие вредоносного ПО.
- Регулярно обновляйте антивирус до последней версии из доступных и используйте именно её.
- Не нажимайте на подозрительные ссылки — и особенно от незнакомых людей.
- Избегайте подозрительных сайтов и программного обеспечения без лицензии.
Если вы видите сообщение о несоответствии скопированного адреса и адреса в буфере обмена, немедленно остановитесь. В случае отправки криптоактивов на неправильный адрес и подтверждения данной транзакции в блокчейне, увы, сделать уже ничего не получится.
Что должен сделать Ledger, чтобы обезопасить пользователей
- Убрать возможность копирования адресов из истории транзакций (самый банальный способ).
- Добавить фильтрацию адресов.
- Подсвечивать скам-транзакции, как это делают многие эксплореры и сервисы.
- Добавить список разрешенных адресов — куда пользователь добавляет «Белые адреса» по аналогии с биржами и другими площадками. При отправке на адрес вне этого списка пусть появляется окно подтверждения, где огромным шрифтом написан адрес, сказано, что «Адрес не в списке ваших разрешенных адресов, рекомендуется перепроверить».
- При частых взаимодействиях с одним и тем же адресом — добавлять его в список часто используемых адресов.
Мошенники постоянно придумывают новые способы, чтобы украсть ваши деньги. Будьте внимательны и осторожны при отправке транзакций.