Saudações aos leitores. Suponho que se você está lendo este artigo, você está de alguma forma conectado às criptomoedas. Ou já ouviu falar de Ledger. Espero que este artigo ajude você a se manter seguro. Afinal, a própria Ledger não está preocupada com a segurança dos ativos criptográficos de seus usuários.
Descreverei minha situação, como perdi 100 mil USDT graças ao aplicativo Ledger Live exclusivamente seguro (o aplicativo móvel oficial).
“A maneira mais inteligente de proteger sua criptografia” - proclama o slogan em seu site oficial.
“Confiado por mais de 6 milhões de clientes” – e um número significativo de usuários da criptoesfera.”
Não posso avaliar o quão segura é a carteira. Eu uso o Ledger Nano X. E, se acreditarmos no site deles, é a carteira mais popular em seu arsenal.
Então vamos começar. Na verdade, o incidente ocorreu poucos dias após a invasão de seu Ledger Kit. Não é de surpreender, uma vez que a segurança está longe de ser a sua principal prioridade.
Mas minha história é sobre o Ledger Live - “O aplicativo de criptografia complementar para seus dispositivos Ledger”.
A única questão é: é um companheiro para os usuários ou melhor, para os hackers?
Acontece que eu precisava transferir 140 mil USDT para um dos meus endereços. Decidi fazer isso em duas etapas: primeiro transferi 40K e depois planejei transferir os 100K restantes. Para minha surpresa, a transação de 100 mil USDT não foi concluída e ficou presa no aplicativo com o status amarelo ‘Enviando’ -100.000 USDT.
Meu primeiro pensamento foi: ‘Talvez não haja TRX suficiente para pagar a taxa de transação’, já que cada transação no Ledger Live é acompanhada pela irritante mensagem ‘A energia está abaixo do necessário. Você pode pagar até 50 TRX em taxas. Esta chamada Energia é obtida através do staking de TRX. O pagamento de taxas na rede Tron pode ser feito usando esta energia ou o token TRX. Não está claro por que o usuário precisa constantemente ver informações sobre energia quando planeja usar o TRX para pagamento de gás. Mas isso não vem ao caso.
Em seguida, recarreguei meu TRX, voltei e cometi meu erro fatal. Claro, se os criadores realmente se importassem com a segurança, eles teriam feito uma série de alterações no aplicativo, sobre as quais escreverei mais tarde.
Cliquei na transação que estava travada com o status ‘Enviando’ e um valor de -100.000 USDT.
Quem poderia imaginar que tal transação em minha conta pessoal não era realmente minha? Naturalmente, vi o início e o fim do endereço correspondente ao meu, mas não verifiquei o meio do endereço.
'Está na minha conta pessoal, com o status Enviando', pensei. E, ao mesmo tempo, ocorreu-me: 'Não existem vírus que trocam dados da área de transferência?'
Comparei o endereço copiado com o que colei - tudo bem. Só que eu não sabia que as transações fraudulentas em minha carteira poderiam ser exibidas em minha conta pessoal. Principalmente com o status ‘Enviando’.
E como vocês podem imaginar, amigos, confirmei a transação e presenteei um hacker com 100 mil USDT. Em segundos, eles já haviam passado por um mixer.
Meu endereço de retirada desejado: TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (substituí o meio por zeros para garantir)
Endereço do golpe: TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX
ID do TX: 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5
Ledger, sendo tão atencioso, não apenas exibe transações fraudulentas, mas também ajuda a copiar facilmente endereços do histórico. Apenas algumas horas depois, o cabeçalho da transação ‘Enviando’ e -100.000 USDT desapareceram. A transação se tornou uma farsa. Um caso muito interessante.
Então, qual é o objetivo deste artigo? Existem muitos fraudadores no mundo e, na criptoesfera, seu número é incontável. É um paraíso para hackers, golpistas, ladrões. Considero a própria Ledger uma empresa irresponsável. E agora entendo por que muitos, depois de usar o Ledger, se recusam a usá-lo. Existem muitos vídeos na internet de pessoas jogando-o no lixo.
E como você pode entender, esses casos acontecem com pessoas com bastante frequência. A Ledger poderia tomar medidas para eliminar essas falhas de segurança? Claro. Mas por alguma razão, eles não o fazem. Talvez não seja lucrativo para eles?
Por que eles não seguem os seguintes passos:
1. Remova a capacidade de copiar endereços do histórico de transações (o método mais básico).
2. Adicione filtragem de endereço.
3. Destaque transações fraudulentas (como fazem muitos exploradores e serviços).
4. Adicione uma lista de endereços aprovados (onde o usuário adiciona 'Endereços brancos' semelhantes a exchanges e outras plataformas. Ao enviar para um endereço fora desta lista, deverá aparecer uma janela de confirmação, onde o endereço está escrito em fonte grande, informando que 'O endereço não está na sua lista de endereços aprovados' e é recomendável verificar novamente cuidadosamente.
5. Para interações frequentes com o mesmo endereço - adicione-o à lista de endereços usados com frequência.
Em vez disso, eles têm muitos anúncios no aplicativo sobre várias variações de apostas, seus sistemas de referência e muito mais.
O suporte do Ledger chama isso de 'envenenamento de endereço' (envenenamento de endereço). É uma coisa muito popular.
Aqui está um link para o artigo deles , que foi atualizado pela última vez em agosto de 2023. Quase 5 meses se passaram desde então e a empresa não tomou nenhuma medida para eliminar vulnerabilidades.
Aqui está outro artigo deles , onde o arquiteto de software descreve o processo de envenenamento de endereço. Mas afirma que os invasores usam tokens de transferência com valor zero dos endereços das pessoas. Supostamente, a Ledger está constantemente melhorando seu sistema de contramedidas. Mas no meu caso, a transferência não foi nada zero. Correspondia exatamente ao valor da transferência.
É claro que, na carta de resposta, o suporte anexou um link para o contrato do usuário . Naturalmente, contém uma isenção de responsabilidade por parte da empresa, além de transferir toda a responsabilidade para o usuário. Portanto, se no aplicativo Ledger Live você receber a janela dizendo 'Aqui está seu endereço para envio de fundos', onde a empresa insere seu próprio endereço para envio de fundos - é sua e somente sua responsabilidade não ter verificado novamente. Não importa o que esteja escrito no aplicativo.
Considero meu caso absolutamente análogo - uma transação fraudulenta no aplicativo foi marcada:
A grande maioria dos usuários consideraria esta transação como enviada de seu endereço e pensaria que ela está na fila para execução (ou não foi executada).
E finalmente. De que ampla distribuição do produto podemos falar? Na opinião deles, todos que o utilizam sabem ou deveriam saber sobre o envenenamento de endereço. Espero que depois do meu artigo você pare de usar o Ledger. E se você estivesse apenas pensando nisso, abandonaria essa ideia.
Veja o banco móvel como exemplo. Se você escolher alguém da sua lista de contatos e transferir dinheiro para essa pessoa, pode haver uma situação em que o aplicativo do banco mostre os dados de outra pessoa com essas credenciais? Pretendo processar a empresa e registrar uma reclamação junto às autoridades reguladoras. Tal ilegalidade não deveria existir. Ou eles deveriam se preocupar com a segurança de sua aplicação financeira – ou deveriam pagar multas e ir brincar na caixa de areia.
PS: Obrigado por ler! Tenha cuidado e cautela ao enviar transações. E fazer escolhas a favor dos serviços e empresas que se interessam pela segurança do seu serviço e trabalham em benefício dos clientes.
Para mim, a Ledger é um exemplo de empresa completamente irresponsável e que faz vista grossa a tais problemas. Hacking constante de seus serviços e perdas de clientes (Ledger Kit). Meu objetivo é divulgar esse case ao maior público possível para que todos conheçam a atitude da empresa em relação aos seus clientes.