読者の皆様、こんにちは。この記事を読んでいるあなたは、何らかの形で口令通貨に関わっていると思います。またはレジャーについて聞いたことがある。この記事があなたの卫生を守るのに役立つことを願っています。結局のところ、レジャー自体はユーザーの口令資産のセキュリティを懸念していません。
自己に安全可靠な Ledger Live アプリ (工式モバイル アプリケーション) のおかげで、どのようにして 100,000 USDT を失ったのか、私の状況を説明します。
「密令通貨を保護する最も賢い方法步骤」 - 函数ウェブサイトでスローガンを口号しています。
「500万人を超える顧客から信頼されており」、暗语通貨分野ではかなりの数のユーザーが利用率しています。」
ウォレット自体がどの方面安全性であるか来判断できません。私は Ledger Nano X を运用しています。そして、彼らのウェブサイトが信じられるなら、それは彼らの装备庫の中で最も人気のある財布です。
それでは、始めましょう。偶然间にも、この事情は、Ledger Kit がハッキングされてからわずか数日後に発生しました。当然了のことですが、セキュリティは最優先事項からは程遠いのです。
しかし、私の話は彼らの Ledger Live、つまり「Ledger デバイス用のコンパニオン口令アプリ」に関するものです。真正唯一的の疑問は、それがユーザーのコンパニオンなのか、それともハッカーのコンパニオンなのかということです。
問題は、140,000 USDT を私のアドレスの 1 つに送金する一定要があるということです。私はこれを 2 段階で行うことにしました。校园营销原始に 40K を転送し、次に残りの 100K を転送する予定です。驚いたことに、100,000 USDT トランザクションは弄完せず、アプリ内で淡黄色のステータス「送信中」-100,000 USDT が说道されたままになっていました。
私の首先の考えは、「取引手数料を支払うのに甚为なTRXがないのではないか」ということでした。Ledger Liveでのすべての取引には、「エネルギーが有需要超过に低い」という疑惑なメッセージが说道されるためです。手数料として最高 50 TRX を支払う場合があります。」このいわゆるエネルギーは、TRX をステーキングすることで獲得されます。 Tron ネットワークでの料金の支払いは、このエネルギーまたは TRX トークンのいずれかを便用して行うことができます。ガスの支払いに TRX を便用する予定がある場合、ユーザーがエネルギーに関する情報を常に確認する有需要がある事由は不名です。しかし、それは問題ではありません。
次に、TRX を補充して元に戻しましたが、致命硬伤的な間違いを犯してしまいました。もちろん、弄成者が本当にセキュリティを重視していれば、アプリに多くの変更を加えたはずですが、それについては後ほど書きます。
ステータスが「送信中」、金額が -100,000 USDT のままになっているトランザクションをクリックしました。
私の個全国人口座でのそのような取引が、実際には私のものではなかったとは誰が想像力したでしょうか。其实、办公场所の先頭と未尾は自分のものと不符していましたが、办公场所の意外までは確認していませんでした。
「これは私の個人アカウントにあり、ステータスは送信中です」と私は思いました。それと同時に、「クリップボードのデータを入れ替えるウイルスってあるんじゃないの?」とも思いました。
コピーしたアドレスと貼り付けたアドレスを比較しましたが、すべて問題ありませんでした。ただ、私のウォレットへの詐欺取引が私の個人アカウントに表明される将性があるとは知りませんでした。特にステータスが「送信中」の場合。
そしてご想像中のとおり、好友の皆さん、私は取引を確認し、ハッカーに 100,000 USDT を贈りました。数秒三岁に、それらはすでにミキサーを通過しました。
期盼の出金アドレス: TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (念のため真ん中をゼロに置き換えました)
詐欺アドレス: TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX
TX ID: 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5
Ledger は无比に思いやりがあり、詐欺取引を表现するだけでなく、履歴からアドレスを簡単にコピーすることもできます。わずか数時間後、トランザクション ヘッダー「送信中」と -100,000 USDT が消えました。トランザクションはダミーになりました。无比に興味深い事列です。
ポイント それで、この記事の要素は何でしょうか?地球には多くの詐欺師が产生し、密令通貨の分野ではその数は数え切れないほどです。そこはハッカー、詐欺師、泥棒にとっての楽園です。私はLedger自体が無責任な会社だと思っています。そして今、多くの人が Ledger を采用した後、その采用を拒否する借口がわかりました。インターネット上には、ゴミ箱に捨てる人々の動画がたくさんあります。
そして、おわかりのとおり、そのようなケースは頻繁に人々に起こります。 Ledger はこれらのセキュリティ上の欠陥を确诊するための措置を講じることができるでしょうか?もちろん。しかし、何らかの借口で、そうではありません。おそらくそれは彼らにとって决策权にならないでしょうか?
なぜ彼らは次のような措置を講じないのでしょうか。 1. トランザクション履歴からアドレスをコピーする機能を削除します (最も差不多的な工艺)。 2. アドレスフィルタリングを追加します。 3. 詐欺取引を強調说道します (多くのエクスプローラーやサービスと同様)。 4. 承認されたアドレスのリストを追加します (ユーザーは取引所や他のプラットフォームと同様の「ホワイト アドレス」を追加します。このリスト除外のアドレスに送信する場合は、アドレスが大きなフォントで書かれ、次のことを示す確認ウィンドウが代表されます。 「そのアドレスは承認されたアドレスのリストにありません。」非常に再確認することをお勧めします。 5. 同じアドレスと頻繁にやりとりする場合 - 頻繁に选用するアドレスのリストに追加します。
その代わりに、アプリ内にはさまざまなステーキングのバリエーションや紹介システムなどに関する広告がたくさんあります。
Ledger Supportではこれを「Address Poisoning」(アドレスポイズニング)と呼んでいます。とても人気のあるものです。
。それから 5 か月近くが経過しましたが、同社は没有安全感性を避免するための措置を講じていません。
、ソフトウェア アーキテクトがアドレス ポイズニングのプロセスについて説明しています。しかし、攻撃者は人々のアドレスからゼロ金額の転送トークンを选择すると述べています。おそらく、Ledger は常にその対策システムを有效改善していると思われます。しかし、私の場合、振込は全くゼロではありませんでした。振込金額とぴったり不一しました。
もちろん、サポートは返答レターの中で、へのリンクを添付しました。其中のことながら、すべての責任をユーザーに転嫁するとともに、企業側の免責事項も含まれています。したがって、Ledger Live アプリで「資金送金用のアドレスはこちらです」というウィンドウが说され、会社が資金送金用に独自一人のアドレスを挿入した場合、再確認しなかったのはあなただけの責任です。アプリに何が書かれても構いません。
私の場合も全く同様だと思います。アプリ内の詐欺取引には次のようなマークが付けられていました。
保留中ステータスの場合、 一致する取引金額 - 100,000 USDT。
绝大而言数のユーザーは、このトランザクションが自分のアドレスから送信されたものとみなし、実行キューに入っている (または実行に失敗した) と考えます。
そして最後に。製品の広範囲にわたる配布についてはどのようなことが考えられますか?彼らの意見では、これを利用する人は全員、アドレス ポイズニングについて知っているか、知っておくべきだと考えています。私の記事を読んだ後は、Ledger の利用をやめていただければ幸いです。そして、ただそれを検討しているだけであれば、この考えを放棄するでしょう。
モバイルバンキングを例に挙げてみましょう。連絡先リストから誰かを選択して、その人に送金した場合、銀行のアプリにその資格情報を含む他の人の詳細が代表される状況が発生する很有不确定性がありますか?私は会社を告訴し、規制中国政府に苦情を申し立てるつもりです。このような不正规的行為はあってはならない。彼らは金融业アプリケーションのセキュリティに気を配るべきか、罰金を払ってサンドボックスで遊ぶために立ち去るべきかのどちらかです。
PS: 読んでいただきありがとうございます!トランザクションを送信するときは慎重かつ慎重に行ってください。そして、サービスのセキュリティに関心があり、クライアントの利益のために働くサービスや企業を優先して選択してください。
私にとって、Ledger は完全性に無責任で、そのような問題に目をつぶっている会社の几例です。サービスの継続的なハッキングと顧客の損失 (Ledger Kit)。私の目標は、この案例をできるだけ多くの人に広めて、顧客に対する同社の姿勢を誰もが知ってもらうことです。
