Ledger Live Trickbetrug

Geposted von Julian Truniger am

Replace By Fees

 

Als Reaktion auf die verantwortliche Offenlegung (Responsible Disclosure) von ZenGo

Ledger wurde von ZenGo bezüglich einiger UX-Probleme in Ledger Live bezüglich des Ersetzens durch Gebühren über das Bounty Programm kontaktiert, da dies einige Betrugsmöglichkeiten eröffnen könnte. Wir möchten Ihnen versichern, dass es sich nicht um eine Sicherheitslücke handelt, sondern um ein clevere Variante von Social Engineering, bei dem ein böswilliger Akteur versucht, Sie auszutricksen. Dieser Trick kann nicht verwendet werden, um Ihre 24-Wörter-Wiederherstellungsphrase abzurufen oder auf Ihre Kryptowährungen zuzugreifen. Ihr Geld ist sicher. Ledger hat dies jedoch sehr ernst genommen und die Benutzeroberfläche von Ledger Live so verbessert, dass verhindert wird, dass jemand Opfer davon wird. Schauen wir uns das genauer an.

 

Trick: ersetzen der Gebühren

Wie bereits erwähnt, handelt es sich bei dieser Methode um einen cleveren Trick. Es gibt eine erweiterte Funktion für Bitcoin und seine Derivate, die als Replace By Fee (RBF) bezeichnet wird. Auf diese Weise können Sie eine Transaktion stornieren, die aufgrund sehr niedriger Gebühren hängen geblieben ist, und sie durch eine andere Transaktion mit höheren Gebühren ersetzen. Dies ist nur möglich, wenn diese Transaktion noch nicht bestätigt ist (für die Technikfreaks: wenn sie noch im Mempool steckt). In der Tat kann "Replace by Fee" eine sehr nützliche Funktion sein.

 

Ledger Live, die Software, die mit unseren Hardware-Wallets funktioniert, zeigt Transaktionen in Ihrem Transaktionsverlauf an, bevor diese tatsächlich bestätigt werden. Dies kann sehr praktisch sein, um eingehende Transaktionen schneller erkennen zu können. Der Betrag dieser unbestätigten Transaktion wird ebenfalls in Ihrem Gesamtguthaben angezeigt. Da diese Transaktion jedoch noch nicht bestätigt wurde, kann sie durch "Replace by Fee" rückgängig gemacht werden. Auch wenn unbestätigte Transaktionen vorliegen, würde dies ein Problem darstellen, wenn versucht wird, die Funktion "send Max" für eine neue Transaktion zu verwenden. Es wird versucht, Bitcoin zu senden, die Sie nicht haben, daher wird es abgelehnt.

 

Als solches könnte ein böswilliger Akteur versuchen, Sie mit einer Zahlung auszutricksen. Jemand könnte Ihnen sagen, dass er Ihnen 1 BTC für einige Waren zahlt, die Sie verkaufen. Nehmen wir für dieses Beispiel an, das ist eine goldene Uhr. In Ledger Live wird die 1 BTC-Transaktion angezeigt, die sich in Ihrem Kontostand widerspiegelt. Alles muss also gut sein, also beschließen Sie, die goldene Uhr zu versenden. Zu diesem Zeitpunkt könnten sie "Replace by Fee" verwenden und diese nicht bestätigte Transaktion abbrechen.

 

Die guten Nachrichten

Erstens sind Ihre Krypto, Wiederherstellungsphrase, privaten Schlüssel, PIN-Code usw. nicht gefährdet. Niemand kann ohne Ihre Zustimmung auf Ihre Krypto zugreifen. Diese Methode basiert lediglich auf dem Versuch, Sie auszutricksen, ähnlich wie herkömmliche Krypto-Betrügereien. Eine weitere gute Nachricht ist, dass wir nie Berichte darüber erhalten haben, dass jemand mit dieser Methode ausgetrickst wurde.

 

Ledger hat in Ledger Live mit UX-Verbesserungen aktualisiert, um vor unbestätigten Transaktionen zu warnen, da sie nicht möchten, dass jemand solchen cleveren Schemata zum Opfer fällt. Benutzer konnten den Status eingehender Transaktionen bereits überprüfen, da in Ledger Live Links zu Block-Explorern verfügbar waren. Ledger hat sich entschlossen, unbestätigte Transaktionen direkt in Ledger Live hervorzuheben, um die Benutzererfahrung noch weiter zu verbessern.

 

Ledger hat eine Nachricht in Ledger Live implementiert, die bei eingehenden unbestätigten Transaktionen in der Nähe Ihres Kontostands angezeigt wird. Auf diese Weise werden Sie informiert, wenn eine Transaktion noch bestätigt werden muss. Abgesehen von dieser UX-Erweiterung hat Ledger auch die UX in Bezug auf RBF-stornierte Transaktionen optimiert. Während der Erstellung einer Bitcoin-Transaktion lässt Ledger Live nicht mehr zu, dass unbestätigte Transaktionen standardmäßig für neue Transaktionen verwendet werden. Auf diese Weise stellen Sie sicher, dass Sie mit der Funktion "Max senden" keine Schwierigkeiten haben - auch wenn ausstehende eingehende Transaktionen storniert werden. Diese Einstellung kann bei Bedarf geändert werden.

 

Es gibt aber auch ein paar Tipps, die wir Ihnen geben möchten, damit Sie nicht auf diese Art von tückischen Tricks hereinfallen. Zunächst ist es wichtig sicherzustellen, dass jede Transaktion zuerst bestätigt wird. Zum anderen wird eine Bedrohung vermieden, wenn Sie einfach keine Transaktion mit jemandem tätigen, von dem Sie nicht wissen, dass Sie ihm vertrauen können. Es kann als etwas ähnlich angesehen werden, als würden Sie etwas bei Ebay verkaufen: Sie würden immer sicherstellen, dass Sie die Zahlung der Gegenpartei zuerst auf Ihrem Bankkonto erhalten haben, bevor Sie etwas senden. Das Krypto-Äquivalent dazu wäre, sicherzustellen, dass die eingehende Transaktion zuerst bestätigt wird.

 

Ledger möchte auch die Gelegenheit nutzen, ZenGo für ihre Arbeit zu danken und über das Betrugspotential zu informieren. Dank solcher Berichte und der grossartigen Arbeit des Ledger Donjon-Teams kann das ohnehin schon hohe Sicherheitsniveau von Ledger kontinuierlich verbessert werden.

 

Original von Ledger


Diesen Post teilen



← Älterer Post Neuerer Post →

Toppreise.ch