Bitcoin wallet Ledger opnieuw in opspraak door veiligheidslek in app
Door een veiligheidslek in Ledger kunnen hackers je Bitcoin (BTC) versturen in plaats van minder waardevolle cryptovaluta.
Inmiddels heeft de hardware wallet fabrikant uit Frankrijk een software update uitgerold om de bug te fixen.
Bitcoin wallet Ledger: veiligheidslek
Ledger is een zogenaamde multicoin wallet. Dat betekent dat je op deze wallet naast je bitcoin ook andere cryptovaluta kunt opslaan.
De lek is geclaimd door onderzoeker Mohammed Nokhbeh van het bedrijf Liqualiy in een uitgebreide blogpost.
Nu is er een probleem met het ‘bitcoin’- gedeelte van het apparaatje. De publieke key van je Bitcoin is namelijk te zien zonder dat je het bitcoin icoontje hebt geactiveerd. Je kunt ook een Bitcoin transactie goedkeuren (‘signen’) buiten de bitcoin app om.
Dus aanvallers die kwaad willen, kunnen Bitcoin naar elders versturen. Terwijl jij onder de indruk bent dat er een minder waardevolle andere cryptomunt van het apparaat wordt verstuurd.
0.01 Bitcoin is nu eenmaal véél meer waard dan 0.01 van elke andere cryptomunt.
Een ernstig lek, erkent ook Ledger vandaag op Twitter. Ze hebben inmiddels een update uitgerold die de lek moet dichten.
We’d like to thank the researcher for helping us make our Ledger Nanos more secure. A new version of the Bitcoin app will be released today, with an update that will display a warning and prompt for confirmation when an unexpected path is used–therefore solving this issue.
— Ledger (@Ledger) August 5, 2020
Ledger steggelt ondertussen ook nog met de onderzoeker zelf. Nokhbeh claimt dat hij zijn bevindingen netjes naar het bounty address [email protected] heeft gestuurd. Volgens Ledger heeft hij berichten gestuurd naar hun Twitter-account.
1 miljoen emails op straat
Ledger kwam vorige maand in opspraak door een groot veiligheidslek in hun klantenbestand. Circa één miljard email-adressen lagen daardoor op straat.
Een buitenstaander wist namelijk de database van de marketing en e-commerce afdelingen binnen te dringen via een API-sleutel.
Het bedrijf uit Parijs geldt samen met Trezor uit Praag als de belangrijkste fabrikant van hardware wallets. Coinkite uit Canada is fabrikant van de Coldcard, een bitcoin only wallet die ook zonder internet werkt.
‘Hardcore’ bitcoiners vinden dat bezitters van BTC naar een Bitcoin only wallet moeten overstappen.
Some would say “don’t buy ledger”.
I prefer the other solution: Stop using shitcoins.
Shitcoins make such kind of vulnerability possible. This is the Shitcoin Tax, the invisible tax you have to pay for using it.https://t.co/OlAM446LLo
— Nicolas Dorier (@NicolasDorier) August 5, 2020
