A kripto pénzek tárolásának egyik legbiztosabb módja, ha hardware walleten tartja őket az ember. Az USB-n keresztül csatlakoztatható készülék megakadályoz minden olyan jellegű támadást, mely az interneten keresztül érhetné számlánkat. Ugyanakkor a tranzakciók indításának, vagy fogadásának idejére ezt is csatlakoztatni kell egy internet hozzáféréssel rendelkező eszközhöz és ez az amit egy esetleges támadó kihasználhat.
A Man in The Middle (MiTM), magyarul közbeékelődéses támadás úgy történhet meg, hogy amikor a Ledger létrehozza a fogadó wallet címét, azt egy a host gépen futó Javascript kóddal teszi meg. Egy kártékony program könnyedén belenyúlhat ebbe a kódba és kicsrélheti a tulajdonos címét a hacker saját címére, így a beérkező utalások már a támadó számlájára fognak megérkezni.
Mivel a Ledger által használt script az AppData könyvtárban található, egy rosszindulatú software ezt minden nehézség nélkül átírhatja. Ha valaki Pythonban hozna létre egy ilyen kártevőt annak kevesebb mint 10 sort kellene begépelnie.
Ha biztosak akarunk lenni abban, hogy az utalások a mi számlánkra érkeznek meg, hitelesítenünk kell a fogadó címet, melyet az utalás során felugró ablak “képernyő” ikonjára kattintva tehetünk meg.
To mitigate the man in the middle attack vector reported here https://t.co/GFFVUOmlkk (affecting all hardware wallet vendors), always verify your receive address on the device's screen by clicking on the "monitor button" pic.twitter.com/EMjZJu2NDh
— Ledger (@Ledger) February 3, 2018
A dolog szépséghibája, hogy ezt minden egyes utalásnál végre kell hajtanunk ami magában hordozza annak a lehetőségét is, hogy egy későbbi időpontban figyelmetlenségből vagy feledékenységből elmulasztjuk ezt megtenni. A tökéletes megoldás egy megkerülhetetlen megerősítő lépés lenne, mint ahogy küldés előtt is jóvá kell hagynunk az utalást.
Egy másik népszerű hardware wallet a Trezor rendelkezik ilyen biztonsági funkcióval. A fogadó címet 2FA azonosítással kell megerősítenünk. Nem kizárt, hogy hamarosan a Ledger is frissíteni fogja a software-t.
A hiba ellenére hardware walleten tartani kripto megtakarításainkat még mindig nagyságrendekkel biztonságosabb, mintha azok egy tőzsdén lennének. Soha ne felejtsük el: a kripto pénz azé, aki a privát kulcsot birtokolja!
[poll id=”1″]