08.01.2018 13:18
4136

Средства в опасности. Обнаружены уязвимости Electrum и Ledger

Криптовалютные кошельки, увы, зачастую подводят своих пользователей. Дыры в их защите или мошеннические уловки приводят к большим потерям.

уязвимость Ledger и Electrum

Так, пользователи Reddit сообщили о прецедентах по уводу средств с аппаратных кошельков Ledger. Злоумышленники продают подержанные кошельки под видом новых с рядом рекомендаций по использованию. На их удочку уже попались несколько человек.

Все пострадавшие заказали аппараты Ledger Nano S на eBay. Как уверила одна из жертв: купленное устройство не отличалось от увиденных в Youtube-обзорах, что и вызвало доверие к продавцу.

Но разница была. В отличие от оригинальных, кошелёк с eBay с первым запуском предлагает странный выбор: создать новый аккаунт или восстановить старый. Также устройство не предлагает задать PIN-код как обычно — он дан в сопроводительном документе, чего не должно быть в случае с оригинальным кошельком Nano S.

Кроме того, документ содержит seed-фразу из 24 слов, якобы сокрытую защитным слоем. Настоящий кошелёк обязательно создаёт её вместе с пин-кодом при первом заходе.

Конечно, опытным криптопользователям подобные расхождения с обычной практикой показались бы подозрительными. Один из участников Reddit заподозрил обман, сбросил настройки и вернул их к настройкам производителя. Это спасло его средства. Другим же повезло куда меньше: один юзер перевёл на фишинговый кошелёк свои запасы XRP, Litecoin и Dash на сумму выше 25 000 долларов. При следующем заходе он с удивлением обнаружил, что средства перевели на неизвестный адрес.

Всем владельцам подозрительных кошельков советуем сбросить настройки, задать собственный PIN и seed-фразу. И только после этого переводить туда цифровые активы.

Хорошая новость есть у разработчиков кошелька Electrum. Им удалось исправить критическую уязвимость, которая открывала доступ к средствам пользователей через вредоносные сайты, особенно когда Electrum был открыт во время их посещения.

Мошенники могли подключиться к Electrum через по умолчанию включённый интерфейс JSON RPC и передать команду на экспорт ключей. Полностью исправленная уязвимость содержится в версии кошелька 3.05, которая была опубликована в ночь на 8 января. В ней интрфейс JSON RPC отключён при запущенном интерфейсе кошелька, а также защищён паролем по умолчанию.

Всем активным пользователям Electrum разработчики советуют скорее установить исправления, прежде чем продолжать пользоваться кошельком.

Получайте 5 лучших статей дня на Email

Подписаться в Телеграме

Подписка на новости

Простая форма подписки MailerLite!

Пожалуйста, подождите

Вы успешно подписались на рассылку!

Adblock
detector