Как потерять миллионы рублей с помощью Ledger. Инструмент для НЕбезопасного хранения и передачи валют Ledger

Приветствую читатели. Думаю, если вы читаете эту статью, вы так или иначе связаны с криптовалютами. Или слышали про Ledger. Надеюсь, эта статья поможет вам обезопаситься. Ведь сам Ledger не беспокоится о безопасности криптоактивов своих пользователей.

Холодный кошелек Ledger - инструмент для хранения своих криптоактивов в безопасности. А точнее в небезопасности (спасибо их ПО Ledger Live).

Я опишу свою ситуацию, как я потерял 100к USDT благодаря уникально безопасному приложению Ledger Live (официальное приложение на телефон).

“The smartest way to secure your crypto” - гласит слоган на их официальном сайте.

“Trusted by over 6 million customers” - и солидное количество пользователей для криптосферы.

Итак, приступим. Так уж совпало, что инцидент произошел спустя пару дней после взлома их Ledger Kit. Неудивительно, ведь безопасность у них далеко не на первом месте.

Но моя история связана с их Ledger Live - “The companion crypto app for your Ledger devices”. Только вот это компаньон пользователей или все-таки хакеров?

Дело в том, что мне было необходимо перевести 140к USDT на один из своих адресов. Я решил это сделать в 2 этапа: перевел сначала 40к (успешно), а потом хотел перевести оставшиеся 100к. На мое удивление, транзакция в 100к USDT не прошла и висела в приложении со статусом “Отправка”.

Первой мыслью было “Наверное нет TRX, необходимого для оплаты комиссии транзакции”, ведь постоянно каждая транзакция в Ledger Live сопровождается надоедливой надписью “Energy is lower than necessary. You might pay up to 50 TRX in fees”. Пресловутая Energy начисляется за стейкинг TRX. Оплаты комиссий в сети Tron возможны путем списания либо этой энергии либо используя токен TRX. Зачем пользователю видеть постоянно информацию об энергии, если он предполагает использовать TRX для оплаты газа - неясно. Ну да ладно.

Далее я пополнил TRX, зашел еще раз и тут моя роковая ошибка. Конечно, если бы создатели действительно озаботились безопасностью, они бы внесли ряд изменений в приложение, о которых я напишу позже. Я кликнул на транзакцию, которая висела со статусом “Отправка” и объемом -100,000 USDT.

Кто бы мог подумать, что такая транзакция в моем личном кабинете (счете) - на самом деле не моя. Естественно я увидел начало и конец адреса идентичные моему, а середину адреса не проверил.

“Она же у меня в личном кабинете, со статусом Отправка” - подумал я. И одновременно вспомнилось в голове “А ведь есть всякие вирусы - подменивающие данные из буфера”.

Сравнил скопированный адрес со вставленным - все ок. Вот только я не знал, что в личном кабинете могут отображаться скам транзакции на мой кошелек. Тем более статус - “Отправка”.

И как можете догадаться, друзья, подтвердил транзакцию и подарил какому-то хакеру 100к USDT. В считанные секунды они уже ушли через миксер.

Мой желаемый адрес вывода : TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (заменил середину нулями на всякий случай)

Скам адрес : TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX

TX id : 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5

Заботливый Ledger мало того, что отображает скам транзакции, так еще и помогает беспрепятственно копировать адреса из истории. Уже спустя пару часов шапка транзакции “Отправка” и - 100,000 USDT исчезли. Транзакция стала пустышкой. Очень интересный случай.

Сам метод называется “Отравление адреса” (address poisoning). Штука очень популярная. Есть 2 вариации.

1) Скамеры пользуются возможностями блокчейна и как-бы вызывают отправку транзакции с адреса жертвы в блокчейн, но с 0 значениями. Как-будто я сделал трансфер на 0 токенов и такое просто позволяет делать TRON (Спасибо Джастин Сан).

2) Скамеры рассылают фишинговые транзакции с токенами пустышками сразу на тысячи адресов, платят небольшую комиссию за мультитранзакции и окупают это невнимательными пользователями

Вот ссылка на их статью, которая последний раз обновлялась в августе 2023 года. С этого момента прошло почти 5 месяцев, а каких-то шагов в сторону устранения уязвимостей компания не сделала.

Вот еще одна их статья, где их Software Architect описывает процесс Отравления адресов. Но там сказано, что злоумышленники используют Transfer токенов с нулевым количеством с адресов людей. И якобы Ledger постоянно совершенствует систему контрмер. Но в моем случае трансфер был вообще не нулевым. А точно совпадающим по размеру перевода. А самая главная причина, по которой я виню Ledger - что такую транзакцию они подсветили в моем личном кабинете. О каком массадопшене идет речь, если ты не можешь верить даже своему кошельку?

Собственно, к чему эта статья? В мире много мошенников, а в криптосфере их вообще бесчисленное множество. Раздолье для хакеров, мошенников, воров. Сам Ledger я считаю безответственной компанией. И теперь пришло понимание, почему многие после опыта использования Ledger отказываются от него.

И как вы понимаете, таких случаев у людей происходит достаточно. Может ли Ledger предпринять шаги в исключении этих дыр безопасности? Конечно. Только почему-то они этого не делают. Быть может им это невыгодно?

Почему бы им не сделать следующие шаги:

Вместо этого у них предостаточно рекламы в приложении про самые разные вариации стейкингов, их реферальные системы и прочее.

Конечно, саппорт в ответном письме прикрепил ссылку на пользовательское соглашение. Разумеется, там есть отказ от ответственности со стороны компании. А также перекладывание всей ответственности на пользователя. Так что если вам в приложении Ledger Live выскочит их окно “Вот ваш адрес для отправки средств”, где компания вставит свой адрес для отправки средств - это ваша и только ваша ответственность, что вы не перепроверили. Ну и что, что в приложении так написано.

Свой случай считаю абсолютно аналогичным - скам транзакция в приложении у меня отметилась:

Подавляющее большинство пользователей сочтет эту транзакцию отправленной со своего адреса. И подумает, что она в очереди на выполнение (или неудачно выполнившаяся).

Конечно, вина на мне, что я доверился копированию адреса из истории транзакций. Честно, я знал про рассылку спам токенов на адреса, про махинации с буфером обмена, про возможности подделывать адреса таким образом, что начало и конец будут похожи на ваш адрес, а середина отличается.

Но я не мог подумать о том, что внутри приложения Ledger, внутри моего кошелька, мне выведут информацию, что если произошла попытка транзакции с моего кошелька и она висит в Pending, то нельзя оттуда копировать адрес - потому что он уже не мой.

Можно сравнить с приложением мобильного банка. Представьте, что вы хотите отправить деньги близкому человеку, он у вас записан в контактах. И при поиске через приложение банк будет отображать имя вашего друга (полное и уникальное) но вместо номера телефона подставит номер другого человека. И ты доверяясь банку, что берет контакты из твоей адресной книги, отправляешь деньги. Так вот случай, где Ledger пометил скам транзакцию моей в приложении - я считаю абсолютно аналогичным.

P.S.: Спасибо за прочтение! Будьте внимательны и осторожны при отправке транзакций. И делайте выбор в пользу тех сервисов и компаний, которые заинтересованы в безопасности средств пользователей. И работают во благо клиентов.

Для меня Ledger - пример компании, которая совершенно безответственна и закрывает глаза на такие проблемы. Постоянные взломы их сервисов и потери клиентов (Ledger Kit). Моя цель - распространить этот случай на максимально возможную аудиторию, чтобы все узнали об отношении компании к своим клиентам. Буду благодарен за помощь в этом направлении.

P.S.: Внизу ответы компаний, к которым я обращался. Суть "призрачного шанса" решения вопроса сводится к взаимодействию с правоохранительными органами, чтобы они отправили официальный запрос Tether на заморозку средств. И попытаться найти средства на разных биржах с KYC, чтобы заморозить/вернуть