Atualização: A vulnerabilidade de computadores é um problema que afeta toda a indústria em todas as carteiras hard, não apenas a Ledger. No entanto, a vulnerabilidade em particular noticiada pela Ledger com referência a sua applicação ao Chrome. A Ledger atualizou sua aplicação do Chrome para forçar os usuários a verificarem endereços de destinos em seus hardwares Ledger, e não apenas na tela do computador.
O fabricante de carteira de hardware de criptomoedas Ledger descobriu uma vulnerabilidade que afeta todos os seus dispositivos e pode levar os usuários a perder seus fundos, de acordo com um relatório lançado no sábado, 3 de Fevereiro.
To mitigate the man in the middle attack vector reported here https://t.co/GFFVUOmlkk (affecting all hardware wallet vendors), always verify your receive address on the device's screen by clicking on the "monitor button" pic.twitter.com/EMjZJu2NDh
— Ledger (@LedgerHQ) February 3, 2018
"Para enganar o intermediário no ataque do vetor, relatado aqui https://www.docdroid.net/Jug5LX3/ledger-receive-address-attack.pdf (...) (afetando todos os fornecedores de carteiras de hardware), sempre verifique seu endereço de recebimento na tela do dispositivo clicando no "botão do monitor"
De acordo com o relatório, um ataque do "intermediário" pode ser executado quando o usuário tenta gerar um endereço para receber Bitcoins em sua carteira Ledger. Se o computador que é usado neste processo for infectado por malware, o invasor pode substituir secretamente o código responsável por gerar o endereço, fazendo com que "todos os futuros depósitos sejam enviados para o invasor".
Como se proteger
Felizmente para os proprietários de suas carteiras, a Ledger também revelou como evitar o "intermediário" do ataque. De acordo com o relatório, os usuários devem aproveitar o recurso "indocumentado" da carteira que exibe o endereço de recepção na exibição física da carteira.
Ao clicar no botão do monitor no canto inferior esquerdo do menu "Receber Bitcoins" e confirmar o endereço da carteira de hardware na tela sempre que gerar uma nova, os usuários podem garantir que o endereço não tenha sido adulterado.
O relatório indica ainda que esse recurso não é obrigatório e não é aplicado pela própria interface do Ledger, colocando a responsabilidade final pela segurança dos fundos nos próprios usuários.
As carteiras de hardware são consideradas como uma das maneiras mais seguras de armazenar criptomoedas, ao contrário de mantê-las em uma casa de câmbio digital ou carteira on-line.
No entanto, com mais de um milhão de usuários do Ledger afetados pelo recém-descoberto vetor de ataque, torna-se claro que mesmo tendo uma carteira de hardware não "faz você invencível" , de acordo com as palavras da própria empresa.