Blind signing ledger что это
Перейти к содержимому

Blind signing ledger что это

  • автор:

Ledger возместит пользователям украденные в результате взлома $600 тыс.

Компания Ledger пообещала возместить $600 тыс. в криптоактивах, украденных при взломе ПО в середине декабря у пользователей, включая тех, кто не является клиентом Ledger. Разработчики криптокошельков заявили, что постараются сделать это к концу февраля 2024 года.

14 декабря кодовая библиотека Ledger Connect Kit, которую используют для авторизации многие крупные криптосервисы, была взломана хакером, что дало ему возможность внедрить в код так называемый дрейнер — вредоносный смарт-контракт, позволяющий списывать все средства с кошельков пользователей при взаимодействии с ним.

По данным Ledger, в результате инцидента пользователи потеряли около $600 тыс. При этом в Ledger признали, что кража активов была совершена при использовании жертвами «слепой подписи» (Blind Signing) транзакций децентрализованных приложений (dApps).

Зачастую при использовании устройства Ledger для одобрения и проведения транзакции аппарат не может отобразить все ее детали. Вместо этого устройство отображает сообщение, что данные транзакции им получены — «Data Present».

Так как деталей смарт-контракта не видно, то подтверждать транзакцию приходится на основе доверия, что и называется «слепая подпись».

В Ledger заявили, что к июню 2024 года компания планирует отказаться от использования «слепых подписей». Взамен планируется реализовать механизм «прозрачной» подписи (Clear Signing), когда пользователи могут проверять данные транзакций перед подписанием.

Глава Ledger Паскаль Готье назвал причиной взлома, произошедшего 14 декабря, фишинговую атаку на одного из бывших сотрудников. По словам Готье, Ledger и ее партнер WalletConnect смогли устранить уязвимость в течение 40 минут после обнаружения.

В Ledger озвучили сумму ущерба пользователей от недавнего взлома

Схема атаки Просто переходите по ссылке, бот сам вас добавит в notcoin squad «Элитный трейдер». Notcoin запустили предмаркет ваучеров Реклама В результате компрометации 14 декабря библиотеки Ledger Connect Kit ущерб пользователей кошелька составил около $600 000.

We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe.

We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.

— Ledger (@Ledger) December 20, 2023

Согласно заявлению, компания полностью компенсирует ущерб пострадавшим. Контролировать возмещение будет CEO Ledger Паскаль Готье.

Фирма также опубликовала отчет об инциденте, который уточнил некоторые детали предварительного расследования.

Утром 14 декабря злоумышленник через фишинговую атаку на экс-сотрудника Ledger получил доступ к его аккаунту в сервисе NPMJS.

С 12:49 по 14:37 МСК хакер опубликовал вредоносную версию библиотеки Ledger Connect Kit. Это решение с открытым исходным кодом, с помощью которого разработчики dapps подключают приложения к оборудованию Ledger. DeFi-платформы автоматически подхватили обновленное ПО.

Для перенаправления активов в свои кошельки взломщик использовал фейковый проект WalletConnect.

В 16:45 в Ledger узнали о ведущейся атаке благодаря реакции сообщества и прямому сообщению через X команды Blockaid. Примерно через полчаса информацию получили специалисты по безопасности и в течение 40 минут заменили мошенническое ПО на подлинное. Но из-за особенностей сети доставки контента и механизмов кэширования в интернете вредоносный файл оставался доступным около 5 часов.

Однако, по оценке Ledger, период, в который злоумышленник опустошал кошельки жертв, составил менее двух часов. Благодаря «быстрой координации» команда WalletConnect отключила мошеннический аналог, а Tether заморозила USDT хакера.

Tether just froze the Ledger exploiter address

— Paolo Ardoino �� (@paoloardoino) December 14, 2023

В Ledger подчеркнули, что в ходе эксплойта злоумышленник не получил доступ к какой-либо инфраструктуре вроде репозитария кода и даже к самим dapps. Вредонос внедрялся в интерфейсы приложений, предлагая пользователям подписать различного рода транзакции.

По данным компании, пострадавшие клиенты прибегли к методу «слепой подписи», не проверяя, на каком устройстве они это реально делают. Для предотвращения подобных инцидентов разработчик аппаратных кошельков планирует в 2024 году закрыть эту опцию. Ledger призвала пользователей и команды dapps использовать решение Clear Sign.

Обзор аппаратного кошелька Ledger Stax 2023

Ledger Stax — это новейший аппаратный кошелек от Ledger. Он доступен для предварительного заказа и должен появиться в продаже летом 2023 года.

Ledger Stax обеспечивает тот же уровень безопасности, что и другие кошельки Ledger, включая Nano X и Nano S Plus, но с новым уровнем удобства использования. Stax оснащен сенсорным экраном, который позволяет подписывать транзакции более удобным способом, чем любой предыдущий кошелек Ledger. Поскольку устройство поддерживает Bluetooth, вы можете использовать его в сочетании с вашим мобильным устройством Android или iOS без подключения к интернету.

Вы сможете заряжать свой кошелек с помощью беспроводной зарядки Qi, того же типа беспроводной зарядки, который поддерживается мобильными устройствами Samsung и Apple. Заряда может хватить на несколько месяцев, особенно если вы не часто пользуетесь устройством.

А когда вы не используете устройство, вы можете настроить экран блокировки с изображеним одного из ваших NFT на кошельке. Однако имейте в виду, что все эти новые функции и возможности имеют свою цену – ориентировочная цена нового кошелька будет около 20 000 руб.

Плюсы

Большой сенсорный экран с электронными чернилами (e-ink)

✔ Поддерживает более 5500 токенов

✔ Позволяет четко подписывать транзакции с помощью смарт-контрактов

✔ Высокий уровень безопасности; CC EAL 5+

✔ Беспроводная зарядка Qi

✔ Совместимость с Android и iOS

✔ Можете обменивать криптовалюту внутри кошелька

✔ Прочный корпус (смесь алюминия и пластика)

✔ Лаконичный дизайн (разработан создателем iPod)

Минусы

✘ Нет стейкинга многих монет в Ledger Live

Что в комплекте?

В коробке вы найдете следующие предметы:

  • Кошелек Ledger Stax
  • Кабель USB-C на USB-C
  • Листы для записи восстановления
  • Краткая инструкция

Особенности Ledger Stax

Ledger Stax обладает рядом атрибутов и возможностей, которые выделяют его на фоне предыдущих аппаратных моделей кошельков Ledger.

Изящный дизайн

Разработанный Тони Фаделлом – создателем iPod, Ledger Stax является самым привлекательным устройством, созданным Ledger на сегодняшний день.

Ledger Stax оснащен дисплеем e-ink, который занимает переднюю часть устройства и изгибается вокруг его корпуса. Размер дисплея составляет 3,7 дюйма (672×400 пикселей). Цвета дисплея включают 16 оттенков серого.

Само устройство толщиной примерно с пачку из 5 кредитных карт.

– Тони Фаделл — изобретатель и вдохновитель Ledger Stax, разработанного студией LAYER под руководством Бенджамина Хьюберта.

Ledger Stax

Сенсорный экран

Ledger Stax — это первое устройство Ledger, оснащенное сенсорным экраном, который используется как для навигации по устройству, так и для подписания транзакций.

Единственным другим аппаратным кошельком с сенсорным экраном является Trezor Model T, сенсорный экран которого меньше половины размера Ledger Stax.

Персонализированный заблокированный экран

Вы можете использовать один из ваших NFT в качестве изображения для заблокированного домашнего экрана.

Ledger Stax

Беспроводная зарядка

Ledger Stax поддерживает беспроводную зарядку Qi, тот же тип беспроводной зарядки, который поддерживают мобильные устройства Samsung и Apple.

Внутренняя батарея

Как и Nano X, Ledger Stax оснащен встроенной батареей. В отличие от аккумулятора Nano X, который может оставаться заряженным около 8 часов использования, аккумулятор Ledger Stax может оставаться заряженным в течение недель или месяцев, в зависимости от того, как часто вы им пользуетесь.

Подключение по Bluetooth

Также, как и Nano X, Ledger Stax можно использовать без подключения к интернету с мобильной версией Ledger Live на вашем устройстве iOS или Android.

Подключение устройства по Bluetooth в сочетании с сенсорным экраном делают его самым удобным и в то же время безопасным аппаратным кошельком для управления вашей криптовалютой «на ходу».

Ledger Stax

Встроенные магниты

В кошельке Ledger Stax встроены магниты, позволяющие прикреплять его к магнитным поверхностям и лучше прятать от посторонних глаз, когда он не используется.

Обеспечивает «clear-sign»

Все устройства Ledger поддерживают clear-sign, но стоит отметить, что Ledger Stax поддерживает этот процесс и вот почему это важно. Сlear-sign помогает снизить вашу уязвимость к взломам и фишинговым атакам, когда ваши активы подключены к смарт-контрактам.

Противоположностью clear-sign является blind signing . Часто, когда вы используете программный кошелек только для транзакции по смарт–контракту, вы подписываете транзакцию вслепую или одобряете ее на основе доверия вместо проверки всех деталей.

Когда вы подписываете транзакцию с помощью своего кошелька и поддерживаемого dapp – например, через приложение Ledger Live – вы можете подтвердить транзакцию с помощью процесса clear-sign. Это дает вам дополнительные сведения для проверки, что позволяет вам лучше оценивать транзакции и избегать мошенничества.

Цена Ledger Stax

Ledger заявил цену Ledger Stax 279 долларов. Это делает его самым дорогим аппаратным кошельком Ledger на рынке на сегодняшний день.

В России цены будут выше, но точных цен пока нет, онибудут известны когда производитель начнет делать отгрузки для официальных реселлеров.

Где купить Ledger Stax

Можно оформить предзаказ на сайте Ledger или у нас на сайте. Мы являемся официальным реселлером в России.

Поддержка монет

Вы можете управлять более чем 500 монетами и токенами, когда используете свой Ledger Stax с помощью собственного программного обеспечения Ledger Live.

Вы можете расширить диапазон поддерживаемых активов, используя свой кошелек в сочетании со сторонним кошельками и приложениями. Это позволяет вам управлять более чем 5000 монетами и токенами, а также NFT на нескольких блокчейнах.

Управление NFT

Вы можете управлять NFT в блокчейнах Ethereum и Polygon с помощью своего кошелька, когда используете его с Ledger Live. Вы также можете управлять NFT в ряде других блокчейнов, когда используете кошелек в сочетании со сторонним приложениями.

Безопасность Ledger Stax

Ledger Stax защищен чипом Secure Element – тем же чипом, который используется для защиты данных паспортов и кредитных карт и который используется в Nano X и Nano S Plus.

Все устройства Ledger прошли общие критерии (CC) оценки безопасности информационных технологий – международный стандарт для банковских карт и требования штата – с сертификатом CC Evaluation Assurance Level (EAL) 5+. Сертификация CC EAL5+ гарантирует, что устройство имеет высочайший уровень защиты от тестов на проникновение (взломов).

“С помощью серии Ledger Nano ™ мы создали самый успешный аппаратный кошелек для защиты цифровых активов всех времен – было продано более 5 миллионов устройств, и ни один из них не был взломан”, — говорит Паскаль Готье, генеральный директор и председатель правления Ledger.

Ledger Stax

Наш вывод

Элегантный дизайн Ledger Stax очень привлекателен, а его функции и возможности делают его одним из лучших аппаратных кошельков на современном рынке для безопасного управления вашими криптоактивами на повседневной основе.

При этом то, что может предложить Ledger Stax, имеет свою высокую цену.

Итак, если вы покупаете аппаратный кошелек с ограниченным бюджетом и не планируете использовать его так часто, возможно, вам стоит дважды подумать, прежде чем выложить большую сумму за это устройство.

Хранение закрытых ключей к вашей криптовалюте — один из самых рискованных аспектов инвестирования в этом классе активов. Сделайте свою ресерч по всем криптокошелькам, прежде чем решать, какой из них лучше всего подходит для ваших активов и финансовых целей.

Аппаратные кошельки широко считаются самым безопасным способом хранения вашей криптовалюты, особенно если вы планируете хранить ее в течение длительного времени.

Подписывайтесь на наш Telegram канал, в нем будет самая свежая информация по поставкам Ledger Stax в Россию

  • #Ledger
  • #Ledger Stax
  • #Аппаратные кошельки

Слепая подпись. Подробнее о наиболее уязвимой составляющей криптовалют

Часто слышали о слепой подписи, но до сих пор не понимаете смысла этого словосочетания? Тогда вы по адресу. Вот понятное объяснение данной концепции. Криптовалюты сегодня — едва ли не самый желанный актив в мире. С учётом этого безопасное хранение монет, токенов и NFT является жизненной необходимостью. Да, вы наверняка об этом слышали — равно как и о том, что нельзя делиться с кем-либо своей мнемонической фразой из 24 слов и приватными ключами. Всё это правда, однако на этом методы защиты криптовалют не заканчиваются. Сегодня пользователи криптоактивов взаимодействуют со сложными смарт-контрактами самыми разными способами, что происходит на фоне популяризации категории DeFi и децентрализованных приложений. Одновременно с этим есть и мошенники, которые ищут всё новые уязвимости в процедуре проведения транзакций. Из-за них возникло обилие скамов, предназначенных для кражи ваших драгоценных криптоактивов. Одновременно с этим подобные схемы порой может не разглядеть даже знаток криптовалют . При этом они активно используют так называемую слепую подпись, которая остаётся относительно малоизвестным, но крайне действенным инструментом скамеров. В данной статье мы расскажем о сути слепой подписи , принципах работы мошеннических схем с её применением, а также средствах защиты от скамеров .

Что такое слепая подпись?

Прежде чем обсуждать данную концепцию в цифровом мире, необходимо разобраться с основами в реальном. Контракты нужны для регулирования взаимодействий между людьми. Это может быть трудовой договор, который обязывает сотрудника работать 40 часов в неделю, или же подписка на Netflix, взимающая плату каждый месяц. В целом подпись в контракте означает согласие с изложенными в нём пунктами. Подписывая контракт, вы подтверждаете, что ознакомились с описанными в нем условиями и требованиями и согласны их выполнять.

Подпись в цифровых контрактах

Смарт-контракты – это инфраструктура, на базе которой работают децентрализованные приложения, NFT и многие составляющие мира DeFi. По сути это цифровая версия обычных контрактов. Представим, что вы берёте в долг криптовалюту у кредитора. Условия сделки — ежемесячная выплата части суммы и определённых процентов сверху. На этом всё: как только вы подтвердите соглашение с помощью приватного ключа, вы по сути подпишитесь под смарт-контрактом в цифровом виде. Но что, если содержимое контракта будет скрыто? Это возвращает нас к первоначальному вопросу. Смарт-контракты в современных децентрализованных приложениях и NFT-токенах стали серьёзной проблемой для криптовалютных кошельков. Дело в том, что их код с главными составляющими контракта нельзя извлечь и как следует отобразить на понятном для пользователей языке. Иначе говоря, кошельки всё ещё не готовы к современным готовым решениям для пользователей.

Что это значит для пользователей?

Рассмотрим реальный пример, который наглядно покажет важность осознанной подписи при проведении транзакции. Однако для начала уточним: если вы подписываете транзакции с помощью экрана ПК, технически это можно считать слепой подписью. Допустим, вы проводите транзакцию с помощью софтверного кошелька. Поскольку экран вашего смартфона или ПК подключён к интернету, его содержимое можно взломать . То есть по сути экран отображает информацию для подписи, которой нельзя полностью доверять. Всё же всегда есть вероятность того, что хакеры добрались до вашего экрана, и теперь он запрашивает подпись совершенно не для тех данных, которые показывает. А значит подтверждение такой транзакции будет считаться «слепой подписью», поскольку вы одобряете что-то исключительно на доверии. Смысл использования аппаратных кошельков по типу Ledger Nano заключается как раз в устранении этого слабого места. Аппаратные кошельки — это безопасная среда без доступа к интернету, из-за чего до них не могут добраться хакеры. А значит экраны таких устройств показывают лишь актуальные и правдивые данные по каждой транзакции. Соответственно, в таком случае пользователь будет точно знать, на какие условия при подписи транзакции он соглашается. Всё верно: экраны аппаратных кошельков Ledger Nano отображают детали каждой транзакции. Однако происходит это лишь тогда, когда эти данные доступны — а подобное бывает не всегда . Представим, что вы знакомы с основами безопасности криптоактивов. Вы проводите операцию по обмену монет с помощью аппаратного кошелька Ledger в паре с софтверным кошельком, который подключён к децентрализованному приложению. Как уже было отмечено выше, большинство софтверных кошельков, выполняющих роль промежуточного ПО между вашим устройством и децентрализованным приложением , неспособно извлечь все данные о транзакции из смарт-контракта . . То есть даже несмотря на использование устройства Ledger для одобрения и проведения транзакции, аппаратный кошелёк не сможет отобразить все её детали. Причина здесь заключается в промежуточном ПО, которое банально не в состоянии передать необходимые данные. Вместо этого устройство отобразит надпись «Data Present» (Данные есть). При этом увидеть нужную информацию по типу разновидности транзакции, курса монеты, адреса получателя и прочего возможности не будет. Вот как это выглядит: Поскольку деталей смарт-контракта мы не видим, подтверждать транзакцию в данном случае придётся исключительно на доверии. Это и называется «слепая подпись». С учётом вышесказанного можно понять, что слепая подпись – это очень опасная затея, однако многие пользователи криптовалют всё равно ей грешат. Понять их нетрудно, ведь обычно люди даже не читают пользовательские соглашения на различных платформах. Вывод одназначен: при принятии подобных решений чаще всего учитывается репутация стороны, с которой мы взаимодействуем.

Новые мошеннические схемы при помощи слепой подписи

Сегодня криптовалюты становятся всё более популярными, из-за чего многие люди знакомятся с основами их безопасного хранения. На фоне этого у мошенников остаётся меньше вариантов для кражи ваших криптоактивов. Поэтому они не идут напролом, а надеются на вашу помощь в ограблении. Ярким примером подобного являются раздачи NFT-токенов на не особо популярных сайтах. Всё же сейчас NFT в тренде, и подобные раздачи созданы для его использования. Однако прежде чем предоставлять слепую подпись для подобных подарков, обязательно задайтесь важными вопросами. Если это непопулярная команда, можно ли верить её представителям? И действительно ли подпись транзакции предоставит доступ к NFT, или же она может навредить? Переписка на различных платформах — ещё один источник риска. Для иллюстрацию этого вспомним недавнюю историю с мошенниками, которые выдавали себя за технических сотрудников платформы OpenSea в Discord. В частности, они связались с опытным коллекционером NFT-токенов, которому требовалась техническая помощь. Разговор шёл об учётной записи пользователя, причём последний действительно поверил в то, что имеет дело с техподдержкой. По ходу беседы скамеры попросили инвестора одобрить транзакцию с помощью его аппаратного кошелька Ledger Nano, при этом детали контракта были скрыты. В итоге он подтвердил транзакцию, которая на самом деле предоставляла доступ к его хранилищу криптоактивов. Ну а представители «техподдержки» оказались мошенниками, причём схему они продумали заранее. Это один из примеров того, как опытный пользователь криптовалют может попасть в ловушку в повседневной жизни.

Не доверяйте — проверяйте

Все подобные схемы обмана завязаны на cоциальной инженерии. В целом мошенники стараются создать атмосферу непринуждённости и доверия, чтобы будущая жертва ослабила бдительность. В приведённом примере коллекционер NFT-токенов подписал транзакцию вслепую, поскольку доверял собеседникам и действительно видел в них представителей торговой платформы. Подобные разновидности скамов с последующей кражей криптовалют становятся всё более распространёнными. Причиной этого стали высокие темпы развития криптоиндустрии, которые сделали слепую подпись негласной нормой. Но теперь пора это исправить.

Как использовать децентрализованные приложения без рисков?

Главная миссия Ledger — обеспечить полную прозрачность и безопасность каждой вашей транзакции. Это значит, что вы сможете ознакомиться с данными контракта при подписи каждого сообщения на аппаратном кошельке. Последнее обновление устройств Ledger как раз гарантирует прозрачную подпись в каждом интегрированном децентрализованном приложении. Благодаря этому уязвимость ликвидируется, а криптоактивы пользователей защищаются куда надёжнее. Обновление аппаратных кошельков Ledger состоит из двух важных улучшений. Прежде всего, теперь устройства Nano могут читать и отображать данные смарт-контрактов многих децентрализованных приложений. Вдобавок недавний запуск Каталога приложений в рамках Ledger Live открывает доступ ко многим децентрализованным приложениям и DeFi-платформам. А значит взаимодействие с ними будет проводиться внутри экосистемы Ledger в полной безопасности. Самое время сделать слепую подпись частью прошлого. Для примера взглянем на транзакцию в рамках децентрализованной биржи ParaSwap. Как показано выше, вместо старой надписи «Data Present» (Данные есть) теперь устройство Nano предоставляет полную информацию о транзакции, которая вдобавок защищена невзламываемым экраном. А значит подтверждать транзакцию на доверии больше не придётся. Новых интеграций с Ledger становится всё больше. На фоне этого Каталог приложений от Ledger превращается в наиболее безопасное место для взаимодействия с децентрализованными приложениями.

А что если децентрализованное приложение не интегрировано?

  • Не используйте незнакомые децентрализованные приложения и всегда перепроверяйте их подлинность.
  • Относитесь с опаской к сообщениям в социальных сетях и мессенджерах. Всё же если незнакомец активно пытается с вами связаться, у него могут быть не самые хорошие намерения. Помните, это может быть кто угодно. И ни за что не переходите по полученным ссылкам.
  • Какой бы ни была проводимая транзакция, устройство Ledger Nano по-прежнему отвечает за постоянное хранение ваших приватных ключей за пределами интернета. Поэтому его использование гарантирует дополнительный уровень безопасности криптоактивов.
  • И, конечно же, никогда не раскрывайте вашу мнемоническую фразу из 24 слов кому-либо, не сохраняйте её на устройствах с интернет-подключением и не вводите её в софтверных кошельках. Напоминаем ещё раз: фразу восстановления с устройства Ledger можно вводить исключительно на устройствах Ledger.

За ваши криптовалюты отвечаете вы

У слепой подписи есть две стороны: прежде всего это технологический пробел, который провоцирует человеческие ошибки. Именно поэтому в данном случае от вас требуется объективный взгляд на происходящее.

Ваш аппаратный кошелёк может быть самым современным и продвинутым в мире, однако последним рубежом защиты ваших криптоактивов являетесь именно вы. Поэтому для повышения безопасности криптоактивов Ledger продолжает расширять Каталог приложений, который позволяет наслаждаться новыми возможностями в мире монет без существенных рисков.

Если вы хотите понимать суть криптовалютных скамов и заодно избежать их, рекомендуем ознакомиться с эпизодом School of Block под названием «Влезаем в шкуру мошенника» (Head of a Scammer).

Кирсти Морланд

Редактор в Ledger Academy. Писатель и исследователь технологии блокчейн и её применения. Любитель старой музыки, мотоциклов и поиска ответов на любые вопросы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *