Как потерять миллионы рублей с помощью Ledger. Инструмент для НЕбезопасного хранения и передачи валют Ledger

Приветствую читатели. Думаю, если вы читаете эту статью, вы так или иначе связаны с криптовалютами. Или слышали про Ledger. Надеюсь, эта статья поможет вам обезопаситься. Ведь сам Ledger не беспокоится о безопасности криптоактивов своих пользователей.

Холодный кошелек Ledger - инструмент для хранения своих криптоактивов в безопасности. А точнее в небезопасности (спасибо их ПО Ledger Live).

Я опишу свою ситуацию, как я потерял 100к USDT благодаря уникально безопасному приложению Ledger Live (официальное приложение на телефон).

Как потерять миллионы рублей с помощью Ledger. Инструмент для НЕбезопасного хранения и передачи валют Ledger

Предисловие

“The smartest way to secure your crypto” - гласит слоган на их официальном сайте.

“Trusted by over 6 million customers” - и солидное количество пользователей для криптосферы.

Итак, приступим. Так уж совпало, что инцидент произошел спустя пару дней после взлома их Ledger Kit. Неудивительно, ведь безопасность у них далеко не на первом месте.

Но моя история связана с их Ledger Live - “The companion crypto app for your Ledger devices”. Только вот это компаньон пользователей или все-таки хакеров?

Как потерять миллионы рублей с помощью Ledger. Инструмент для НЕбезопасного хранения и передачи валют Ledger

Как потерять 100к USDT без смс и регистрации

Дело в том, что мне было необходимо перевести 140к USDT на один из своих адресов. Я решил это сделать в 2 этапа: перевел сначала 40к (успешно), а потом хотел перевести оставшиеся 100к. На мое удивление, транзакция в 100к USDT не прошла и висела в приложении со статусом “Отправка”.

Как Ledger отображает скам транзакции в приложении. В истории операций
Как Ledger отображает скам транзакции в приложении. В истории операций

Первой мыслью было “Наверное нет TRX, необходимого для оплаты комиссии транзакции”, ведь постоянно каждая транзакция в Ledger Live сопровождается надоедливой надписью “Energy is lower than necessary. You might pay up to 50 TRX in fees”. Пресловутая Energy начисляется за стейкинг TRX. Оплаты комиссий в сети Tron возможны путем списания либо этой энергии либо используя токен TRX. Зачем пользователю видеть постоянно информацию об энергии, если он предполагает использовать TRX для оплаты газа - неясно. Ну да ладно.

Далее я пополнил TRX, зашел еще раз и тут моя роковая ошибка. Конечно, если бы создатели действительно озаботились безопасностью, они бы внесли ряд изменений в приложение, о которых я напишу позже. Я кликнул на транзакцию, которая висела со статусом “Отправка” и объемом -100,000 USDT.

Кто бы мог подумать, что такая транзакция в моем личном кабинете (счете) - на самом деле не моя. Естественно я увидел начало и конец адреса идентичные моему, а середину адреса не проверил.

“Она же у меня в личном кабинете, со статусом Отправка” - подумал я. И одновременно вспомнилось в голове “А ведь есть всякие вирусы - подменивающие данные из буфера”.

Сравнил скопированный адрес со вставленным - все ок. Вот только я не знал, что в личном кабинете могут отображаться скам транзакции на мой кошелек. Тем более статус - “Отправка”.

И как можете догадаться, друзья, подтвердил транзакцию и подарил какому-то хакеру 100к USDT. В считанные секунды они уже ушли через миксер.

Цепь воровства
Цепь воровства
Ledger знает о проблеме, но позволяет копировать адреса и не борется с этим ялвением
Ledger знает о проблеме, но позволяет копировать адреса и не борется с этим ялвением

Мой желаемый адрес вывода : TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (заменил середину нулями на всякий случай)

Скам адрес : TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX

TX id : 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5

Заботливый Ledger мало того, что отображает скам транзакции, так еще и помогает беспрепятственно копировать адреса из истории. Уже спустя пару часов шапка транзакции “Отправка” и - 100,000 USDT исчезли. Транзакция стала пустышкой. Очень интересный случай.

Что это за способ воровства

Сам метод называется “Отравление адреса” (address poisoning). Штука очень популярная. Есть 2 вариации.

1) Скамеры пользуются возможностями блокчейна и как-бы вызывают отправку транзакции с адреса жертвы в блокчейн, но с 0 значениями. Как-будто я сделал трансфер на 0 токенов и такое просто позволяет делать TRON (Спасибо Джастин Сан).

2) Скамеры рассылают фишинговые транзакции с токенами пустышками сразу на тысячи адресов, платят небольшую комиссию за мультитранзакции и окупают это невнимательными пользователями

Вот ссылка на их статью, которая последний раз обновлялась в августе 2023 года. С этого момента прошло почти 5 месяцев, а каких-то шагов в сторону устранения уязвимостей компания не сделала.

Вот еще одна их статья, где их Software Architect описывает процесс Отравления адресов. Но там сказано, что злоумышленники используют Transfer токенов с нулевым количеством с адресов людей. И якобы Ledger постоянно совершенствует систему контрмер. Но в моем случае трансфер был вообще не нулевым. А точно совпадающим по размеру перевода. А самая главная причина, по которой я виню Ledger - что такую транзакцию они подсветили в моем личном кабинете. О каком массадопшене идет речь, если ты не можешь верить даже своему кошельку?

Способы решения проблемы

Собственно, к чему эта статья? В мире много мошенников, а в криптосфере их вообще бесчисленное множество. Раздолье для хакеров, мошенников, воров. Сам Ledger я считаю безответственной компанией. И теперь пришло понимание, почему многие после опыта использования Ledger отказываются от него.

И как вы понимаете, таких случаев у людей происходит достаточно. Может ли Ledger предпринять шаги в исключении этих дыр безопасности? Конечно. Только почему-то они этого не делают. Быть может им это невыгодно?

Почему бы им не сделать следующие шаги:

  • Убрать возможность копирования адресов из истории транзакций (самый банальный способ)
  • Добавить фильтрацию адресов
  • Подсвечивать скам транзакции (как это делают многие эксплореры и сервисы)
  • Добавить список разрешенных адресов (куда пользователь добавляет “Белые адреса” по аналогии с биржами и другими площадками. При отправке на адрес вне этого списка пусть появляется окно подтверждения, где огромным шрифтом написан адрес, сказано, что “Адрес не в списке ваших разрешенных адресов”, рекомендуется перепроверить досконально
  • При частых взаимодействиях с одним и тем же адресом - добавлять его в список часто используемых адресов

Вместо этого у них предостаточно рекламы в приложении про самые разные вариации стейкингов, их реферальные системы и прочее.

Ответ саппорта

Конечно, саппорт в ответном письме прикрепил ссылку на пользовательское соглашение. Разумеется, там есть отказ от ответственности со стороны компании. А также перекладывание всей ответственности на пользователя. Так что если вам в приложении Ledger Live выскочит их окно “Вот ваш адрес для отправки средств”, где компания вставит свой адрес для отправки средств - это ваша и только ваша ответственность, что вы не перепроверили. Ну и что, что в приложении так написано.

Свой случай считаю абсолютно аналогичным - скам транзакция в приложении у меня отметилась:

  • 1) статусом Pending
  • 2) совпадающим объемом транзакции - 100,000 USDT

Подавляющее большинство пользователей сочтет эту транзакцию отправленной со своего адреса. И подумает, что она в очереди на выполнение (или неудачно выполнившаяся).

Выводы

Конечно, вина на мне, что я доверился копированию адреса из истории транзакций. Честно, я знал про рассылку спам токенов на адреса, про махинации с буфером обмена, про возможности подделывать адреса таким образом, что начало и конец будут похожи на ваш адрес, а середина отличается.

Но я не мог подумать о том, что внутри приложения Ledger, внутри моего кошелька, мне выведут информацию, что если произошла попытка транзакции с моего кошелька и она висит в Pending, то нельзя оттуда копировать адрес - потому что он уже не мой.

Можно сравнить с приложением мобильного банка. Представьте, что вы хотите отправить деньги близкому человеку, он у вас записан в контактах. И при поиске через приложение банк будет отображать имя вашего друга (полное и уникальное) но вместо номера телефона подставит номер другого человека. И ты доверяясь банку, что берет контакты из твоей адресной книги, отправляешь деньги. Так вот случай, где Ledger пометил скам транзакцию моей в приложении - я считаю абсолютно аналогичным.

Будьте аккуратны

P.S.: Спасибо за прочтение! Будьте внимательны и осторожны при отправке транзакций. И делайте выбор в пользу тех сервисов и компаний, которые заинтересованы в безопасности средств пользователей. И работают во благо клиентов.

Для меня Ledger - пример компании, которая совершенно безответственна и закрывает глаза на такие проблемы. Постоянные взломы их сервисов и потери клиентов (Ledger Kit). Моя цель - распространить этот случай на максимально возможную аудиторию, чтобы все узнали об отношении компании к своим клиентам. Буду благодарен за помощь в этом направлении.

P.S.: Внизу ответы компаний, к которым я обращался. Суть "призрачного шанса" решения вопроса сводится к взаимодействию с правоохранительными органами, чтобы они отправили официальный запрос Tether на заморозку средств. И попытаться найти средства на разных биржах с KYC, чтобы заморозить/вернуть

Ответ Tether:

Dear Sir/ Madam

Thank you for contacting Tether.We are sorry to hear about this unfortunate situation.Kindly notice that Tether tokens are managed by open-source software. The software can be downloaded and used by any client to generate addresses and use those addresses for tether token transfers without any involvement from Tether. This is similar to how other tokens such as Bitcoin function. We do not issue all the addresses in use and are not in control of them nor of every transaction made on-chain. We also do not have identifying information about the persons who use addresses which we do not control.The referenced address where the funds were transferred to TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX does not belong to Tether and is not controlled by Tether. We are not in a position to determine the validity of these transfers.As we are sure you can appreciate, we do not wish to be drawn into a possible dispute between two parties. Any action taken by us in respect of the destination address, could expose us to a claim from its holder if, for example, it turns out the transfers were valid.We recommend that you contact local law enforcement authorities to help you with this case and ask that you please direct law enforcement to inforequests@tether.to, if they have any questions. Please be advised that the law enforcement department managing the case must directly submit all law enforcement requests to us.We hope for the best.


Ответ Ledger:

Здравствуйте,

Я искренне сожалею о вашей ситуации.

Если я правильно понимаю, вы скопировали адрес из истории транзакций. Этого не следует делать, так как история операций может быть отравлена. Это то, что Ledger не может контролировать. Об этом а также о том, как защитить себя подробно рассказывается в следующей справочной статье

Если возникнет необходимость, вы можете ознакомиться с условиями использования Ledger Live, перейдя по ссылке ниже:

https://shop.ledger.com/ru/pages/ledger-live-terms-of-use

Я остаюсь в вашем распоряжении, если вам понадобится дальнейшая помощь.


AML bot

Также обратился к этой компании, ведь вроде она способна помогать возвращать украденные средства.

Они предложили помощь в обмен на 5к USDT и 25% success fee

Предложил взамен 50% success fee, чтобы посмотреть на реакцию команды. По идее, если ты уверен в возврате средств, ты согласишься. Но они не согласились, просят аванс. Видимо статья на hackernoon - это единственное "доказательство" их результативности.


33
8 комментариев

Какую-то очень странную историю вы рассказываете. Спасибо, что вы не скрыли свой адрес и можно проверить всё самому в блокчейне. Вы говорите, что при первой отправке 100k USDT у вас не прошла транзакция, т.к. не хватило энергии. Но если посмотреть внимательно, то пополнили TRX вы в 21:26:36 (по UTC) в количестве 305 TRX и более вы TRX не пополняли. При этом отправка первых 40k произошла в 21:28:00. Т.е. вы сначала пополнили TRX в сумме достаточном для отправки десятка транзакций, а потом начали отправлять USDT. Соответственно, вам ничто не мешало отправить следующие 100k после первых 40k, но вы говорите о неуспешной транзакции. В эксплорере никаких других транзакций между 40к и 100к - нет. Точнее есть одна, которая как раз и являлась фишинговой. Вот только она на 0 USDT. И Джастин Сан тут не причем, кстати. Дело в том, что в смарт-контракте USDT существует баг, который позволяет при отправке именно 0 USDT в качестве адреса отправителя вписать любой адрес. И самое дурацкое в этой ошибке, что заплатить комиссию за отправку такой транзакции может не тот, кого вписали в отправители, а вообще кто угодно (хотя это было бы отличным защитным механизмом). Именно этот баг и позволяет творить то, что произошло с вами. После успешной транзакции на 40к вам послали фишинговую транзакцию в 21:28:06 (т.е. спустя всего 6 секунд!), в которой отправителем были вы, а получателем был "отравленный адрес". Мошенник сам заплатил вместо вас 27 TRX за то, чтобы в вашей истории висела поддельная транзакция. И вот дальше вы придумываете какую-то сказку. Вы говорите, что в истории отправки вы видели транзакцию на 100'000 USDT со статусом "Отправка..." на которую вы и "повелись", взяв адрес оттуда. Вот только это ложь. Как я написал выше, подсунуть вам фишинговую транзакцию можно только с суммой транзакции в 0 USDT. Там в принципе не могло быть транзакции на 100'000 USDT, которую делали не вы и с поддельным адресом. Опять же, вы ничего не замазали и на этом скриншоте видно хэш транзакции, которую вы называете поддельной. Её хэш - 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5. И это та сама транзакция, которую вы отправили в 21:57:03 на адрес мошенника. Это не могло быть какой-то первой транзакцией из которой вы взяли поддельный адрес кошелька, т.к. это уже финальная транзакция в которой ушли ваши деньги. А вот предшествовала ей фишинговая транзакция с хэшем c5448a561738d3cf551d1daa9d8868c37de136d45d77aa97beabb0eb817b682e - именно в ней был адрес злоумышленника. И нигде, кроме как из нее, вы не могли взять его адрес. Соответственно, именно её вы увидели в Ledger Live и именно оттуда скопировали адрес. Только вы видели там сумму транзакции в 0 USDT, а не в 100k. В связи с чем ваш аргумент и все дальнейшие сравнения о том, что вы не можете доверять своей же транзакции из истории переводов - не уместен. После успешной отправки в 40k, в вашей транзакции через 6 секунд появилась фишинговая транзакция. Видя в истории перевод на 40k и перевод на 0 USDT вы могли скопировать адрес из истории на 40k (ведь вы успешно их получили), но скопировали из мутной транзакции на 0 USDT. А всё остальное - какая-то ваша фантазия на тему того, что Ledger показал вам на экране поддельную транзакцию на 100k, которая выглядела как ваша, но не была вашей.

Я при этом не оправдываю Ledger. У них правда абсолютно идиотский софт. У них постоянно открепляются кошельки из избранного, они не маркируют фишинговые транзакции, как TronScan, у них до сих пор не работает стейкинг TRX версии 2.0 в Ledger Live, хотя прошло несколько лет. Но больше всего меня бесит, что Ledger Live не позволяет отправить USDT на неактивированный TRON-кошелек, хотя такого запрета в самом блокчейне нет и любой другой кошелек их отправит (их просто нельзя забрать будет до активации, но сами USDT прекрасно дойдут). И это прям бесит, что когда тебе какой-нибудь процессинг подсовывает новый чистый кошелек для оплаты инвойса, то тебе сначала нужно отправить туда 0.1 TRX, а потом уже нужное количество USDT. Но вот с вашим аргументом, что вы зашли в свою неудавшуюся транзакцию на 100k и увидели там чужой кошелек - это сказки. Блокчейн всё видит. :)

1
Ответить

у меня была аналогичная история только я потерял гораздо меньше 570 usdt но все равно обидно что ladger ложит большой болт на своих юзеров, обращение в поддержку ни чего не дало они спросили пару вопросов и потом просто молчание.

Ответить

Комментарий недоступен

Ответить

Это так называемый Address Poisoning, когда хакер рассылает на все кошельки с крупными счетами в моменты их транзакций околонулевые свои транзакции. Чтобы человек зашел в историю и скопировал адрес. Причем рассылают они со сгенерированных кошельков, у которых начальная и конечные части адреса идентичны адресу жертвы

Ответить

We should use a reliable crypto exchange with good customer service.

Ответить

Спасибо за статью! Сейчас аж холодок по спине пробежал…

Ответить

Ledger -воры

Ответить