Служба поддержки Документы

Приложения для взаимодействия с Биткойном взимают большие комиссии за транзакции

В приложениях, которые позволяют пользоваться Биткойном и поддержкой SegWit, присутствует некоторая уязвимость. Она позволяет атакующей стороне существенно увеличивать комиссии за проведение транзакции — причём делать это незаметно для владельца устройства.

Хакеры вряд ли будут массово использовать данную уязвимость. Всё же она позволяет только увеличивать комиссии за транзакции, но не красть криптоактивы. Дополнительная информация о данной уязвимости есть в этом Бюллетене безопасности Ledger.

Исправить эту уязвимость просто. Достаточно обновить настольное приложение Ledger Live до версии 2.4.1, и приложение Bitcoin — до версии 1.4.0. Апдейт делается очень просто в Диспетчере.

Частые вопросы

Как атакующая сторона может использовать уязвимость?
Для проведения успешной атаки злоумышленники должны скомпрометировать приложение пользователя. Чаще всего они заставляют установить фейковую версию приложения Ledger Live или любого другого приложения-кошелька для работы с криптоактивами. Затем злоумышленники дожидаются момента проведения транзакции как минимум с одним SegWit-вводом. В этот момент пользователю кажется, что он проводит несколько транзакций, причём выводы последних в итоге будут объединены. В итоге атакующая сторона может транслировать транзакцию в сеть и при этом установить куда более высокие комиссии за проведение транзакций.

Использовали ли злоумышленники эту уязвимость?
Мы не сталкивались со случаями использования данной уязвимости с устройствами Ledger или любыми другими кошельками. Поскольку извлечь материальную выгоду из этой уязвимости невозможно, злоумышленники вряд ли будут тратить на это время.

Как мне защитить свои криптоактивы от данной уязвимости при использовании Ledger Live?
Если вы используете исключительно приложение Ledger Live, обновите его и установите последнюю версию приложения Bitcoin. Этого будет достаточно, чтобы защититься от возможного использования уязвимости. 

  1. Закройте и перезапустите приложение Ledger Live для ПК.
  2. Нажмите кнопку «Загрузить сейчас»  на баннере уведомления. Может потребоваться некоторое время, прежде чем эта надпись появится.Также загрузить и установить новую версию можно напрямую.
  3. Перейдите в Диспетчер и нажмите кнопку «Обновить все», чтобы обновить все приложения на устройстве Ledger. После обновления на вашем устройстве будет установлена самая свежая версия приложения Bitcoin.

Как мне защитить свои криптоактивы от данной уязвимости при использовании кошельков сторонних разработчиков?
Установите последнюю версию приложения Bitcoin в Диспетчере. При проведении потенциально уязвимой транзакции на экране устройства Ledger отобразится соответствующее предупреждение. В таком случае транзакцию можно отменить или всё равно провести.

Поскольку уязвимость всё ещё существует, мы рекомендуем связаться с разработчиками приложения-кошелька. Попросите их обновить LedgerJS для исправления неполадок с их стороны.