Yeni Keşfedilen Güvenlik Açığı; Kullanıcıların Fonları Risk Altında
Donanım kripto para birimi cüzdan üreticisi Ledger, 3 Şubat Cumartesi günü yayınlanan bir rapora göre, tüm cihazlarını etkileyen ve kullanıcıların fonlarını kaybetmesine neden olabilecek bir açık keşfetti.
To mitigate the man in the middle attack vector reported here https://t.co/GFFVUOmlkk (affecting all hardware wallet vendors), always verify your receive address on the device's screen by clicking on the “monitor button” pic.twitter.com/EMjZJu2NDh
— Ledger (@LedgerHQ) February 3, 2018
Rapora göre, “man in the middle” saldırısı, kullanıcı Ledger cüzdanı için bitcoin‘leri almaya yönelik bir adres oluşturmaya çalıştığında gerçekleştirilebilir. Bu işlemde kullanılan bilgisayar zararlı yazılımlara maruz kalırsa, saldırgan adres oluşturmadan sorumlu kodu gizlice değiştirebilir ve “gelecekteki tüm depozitolar saldırgana gönderilir”.
Nasıl Korunursunuz?
Neyse ki cüzdan sahipleri için, Ledger “man in the middle” saldırısından nasıl kaçınacağını da açıkladı. Rapora göre, kullanıcılar m-cüzdanın fiziksel ekranda alıcı adresini gösteren “undocumented” bir özellikten yararlanmalıdır.
“Receive Bitcoins” menüsünün sol alt köşesindeki monitör düğmesini tıklatarak ve yeni bir tane oluştururlarken donanım cüzdanının ekranındaki adresini teyit ederek adresin değiştirilmemiş olmasını sağlayabilir.
Rapor ayrıca, bu özelliğin zorunlu olmadığını ve Ledger’ın kendi arabirimi tarafından zorlanmadığını ve fonların kullanıcıların kendileri tarafından emniyet altına alınmasının nihai sorumluluğunu üstlendiğini belirtti.
Donanım cüzdanları; online cüzdanın veya borsanın yerine kripto para birimleri saklamak için en güvenli yollardan biri olarak kabul edilir.
Bununla birlikte, Ledger‘ın yeni keşfedilen saldırı vektöründen etkilenen bir milyondan fazla kullanıcı ile, şirketin kendi sözleriyle, donanım cüzdanı kullanmanın bile “sizi güvenli” yapmadığı açıkça görülüyor.
Kaynak: 1