Уязвимость угрожает потерей криптовалюты всем владельцам аппаратных кошельков Ledger. Описание проблемы в системе безопасности привёл ресурс Docdroid.
Суть уязвимости
Дыра позволяет провести атаку типа «человек посередине». Хакеры могут перехватить данные, когда владелец кошелька Ledger создаёт новый адрес для получения биткоинов.
Для создания нового адреса необходимо подключить аппаратный кошелёк к компьютеру. Если это компьютер заражен вредоносным программным обеспечением, оно может подменить код генерации адреса. В результате все переводы на будут отправляться на кошелёк хакера.
Решение проблемы
Чтобы не дать хакерам обогатиться, владельцы аппаратных кошельков Ledger могут воспользоваться «недокументированной возможностью». С её помощью на дисплей аппаратного кошелька можно вывести адрес получателя.
Функция активируется, если нажать на кнопку с иконкой монитора в меню получения перевода. Здесь можно убедиться в корректности адреса получателя. В документации к кошельку эта проверка не считается обязательной.
Но эта функция актуальна только для переводов в биткоинах. Если же вы используете Ledger для работы с Ethereum, рекомендуется пока загружать операционную систему с Live CD. Разработчики Ledger ещё не представили действенного решения проблемы.