Компания Ledger, производитель популярных аппаратных кошельков, предупредила своих пользователей о выявленной уязвимости. Речь идёт о возможности атак типа «Человек посередине» (Man-in-the-middle, MITM).
Чтобы защититься от такого рода атак, необходимо каждый раз в ручном режиме проверять правильность адреса, нажимая кнопку с изображённым монитором.
To mitigate the man in the middle attack vector reported here https://t.co/GFFVUOmlkk (affecting all hardware wallet vendors), always verify your receive address on the device's screen by clicking on the "monitor button" pic.twitter.com/EMjZJu2NDh
— Ledger (@LedgerHQ) February 3, 2018
В противном случае хакеры могут воспользоваться невнимательностью владельца кошелька и заменить код, создающий адрес получателя. В итоге деньги будут перечислены на счёт злоумышленников.
В своём сообщении в twitter Ledger ссылается на документ с описанием проблемы, в котором указано, что впервые об уязвимости компания узнала ещё 4 января.
Разработчик, который уведомил Ledger об этой проблеме (его имя не называется), неоднократно требовал обновления программного обеспечения (10 и 13 января), но в ответ было лишь молчание.
27 января CTO Ledger ответил, что обновлений не будет, но компания проинформирует своих пользователей о возможной опасности.
Эта позиция вызвала волну критических комментариев в адрес Ledger. Пользователи также возмущены промедлением в решении этого вопроса со стороны компании. Ledger в свою очередь настаивает на своей правоте.
На данный момент сообщений о хакерских атаках на кошельки Ledger не поступало.