Výrobce hardware peněženek Ledger v sobotu 3. února upozornil na zranitelnost svého zařízení. Vývojáři společnosti objevili typ útoku, který může zasáhnout veškerá jeho zařízení. To může vést ke ztrátě, respektive k nepřijetí finančních prostředků, poslaných jiným uživatelem.
Man in the middle
Podle zveřejněné zprávy se jedná o takzvaný “man in the middle” útok (zkratka MITM, z anglického slovního spojení “člověk uprostřed” nebo “člověk mezi”). Podstatou tohoto útoku je snaha útočníka “odposlouchávat” komunikaci mezi účastníky tak, že se stane aktivním prostředníkem. V běžném životě se může uživatel zařízení s útoky typu “man in the middle” setkat například v případě, když je ve webovém prohlížeči pro HTTPS jiný certifikát než by měl být.
V případě peněženek se MITM útok uskutečňuje v momentě, kdy se uživatel pokusí vygenerovat novou adresu na přijímaní Bitcoinů, či jiné kryptoměny, kterou drží ve své peněžence. Pokud je jeho peněženka infikována škodlivým softwarem, útočník může tajně nahradit kód, zodpovědný za generovaní adresy. To má za následek “vytvoření” nové útočníkovy adresy, a proto finanční prostředky nebudou posílané vám, ale přímo k útočníkovi.
Jak se chránit
Ledger pro majitele hardware peněženek ihned nabídl řešení, jak se tomuto útoku vyhnout. Podle doporučení výrobce by uživatelé měli využívat “nedokumentovatelnou” funkci peněženky, která zobrazuje adresu pro přijímaní kryptoměny na fyzickém displeji peněženky.
Kliknutím na tlačítko, nacházející se v levém dolním rohu menu “Přijmout Bitcoin” se nově vytvořená adresa automaticky zobrazí na displeji hardwarové peněženky. Jejím zkontrolováním a fyzickým potvrzením stlačením tlačítka se uživatelé mohou ubezpečit, že adresa je pravá.
Ve zprávě společnosti se dále uvádí, že tato funkce/postup není povinná/ý. Zařízení, určená pro příjem Bitcoinu (BTC), či jiné kryptoměny, tento krok nevyžadují. Avšak konečná zodpovědnost za bezpečnost finančních prostředků je plně v rukou uživatelů.
Na rozdíl od držení kryptoměn na burzách, nebo v online peněženkách, je jejich držení v hardwarových peněženkách považováno za jedno z nejbezpečnějších. Jak je vidět po této zkušenosti i tento typ zabezpečení má svoje úskalí. Více jak jeden milion uživatelů těchto peněženek od společnosti Ledger by se proto mělo mít na pozoru a věnovat transakcím zvýšenou pozornost.