В аппаратном кошельке Ledger Nano S обнаружили критическую уязвимость. Пользователь под ником MoneroDontCheeseMe, рассказавший о ней на Reddit, из-за бага лишился 1680 Monero (около 80 тыс. долларов по текущему курсу).
MoneroDontCheeseMe использовал клиент Monero версии 0.14 и аппаратный кошелек Ledger Nano S версии
Перед отправкой последней транзакции на кошельке пользователя хранилось 1690 XMR, а на разблокированном балансе — 141,95 XMR. Однако после завершения операции кошелек пользователя показывал нулевой баланс.
Пользователь отметил:
Я обратил внимание, что отправленные суммы и транзакции, записанные в блокчейне, не совпадают. Фактически транзакция на 200 XMR сняла с моего Ledger-кошелька 1691,001 XMR. Кроме того, суммы, указанные для транзакции 10 XMR, не соответствуют друг другу.
В комментариях к записи появился технический директор Ledger Николя Бакка. Он отметил, что, скорее всего, проблема возникла из-за ошибки при синхронизации.
Но позднее разработчики установили, что это не так. Они доказали, что баг проявляется при использовании клиента Monero версии 0.14 с собственным клиентом компании версии
Разработчики заявили:
Похоже, существует баг, связанный с адресом возвратного кошелька. Возврат средств, по всей видимости, осуществляется некорректно. Нежелательный эффект дает сочетание конкретной версии клиента Monero с конкретной версией приложения кошелька.
Чтобы не потерять криптовалюту, владельцам Ledger Nano S рекомендуется пока не использовать клиент версии 0.14. В целом хранение криптовалюты безопасно, уязвимость проявляется только при совершении транзакций. О решении проблемы разработчики сообщат дополнительно.