Kryptomena je v týchto dňoch v móde a všade sa objavujú početné kryptoburzy, meny a peňaženky. Ako je to však so všetkým, čo je digitálne, existuje veľká otázka bezpečnosti súvisiaca s kryptomenovými peňaženkami.
Ledger, francúzska spoločnosť, predáva kryptopeňaženku už nejaký čas a opakovane tvrdila, že jej peňaženka je odolná voči falšovaniu a nemožno ju hacknúť kvôli pokročilé bezpečnostné funkcie, ako napríklad „kryptografické osvedčenie“ – niečo, o čom spoločnosť tvrdí, že používa nefalšovateľné digitálne podpisy, takže na ňom môže bežať iba autorizovaný kód. peňaženku.
V roku 2015 predstavitelia Ledgeru dokonca tvrdili, že „neexistuje absolútne žiadny spôsob, ako by útočník mohol nahradiť firmvér a zabezpečiť ho. atestáciu bez znalosti súkromného kľúča Ledger. Toto tvrdenie sa však teraz ukázalo ako úplne nepravdivé zo strany 15-ročného dievčaťa UK.
Saleem Rashid zverejnil svoje zistenia (a kód proof-of-concept pre útok) na svojom osobnom blogu. Rashid dokázal použiť svoj kód na backdoor do Ledger Nano S – peňaženky za 100 dolárov, ktorú spoločnosť predala po miliónoch.
Rashidov kód je dlhý len 300 bajtov a umožňuje peňaženke generovať vopred určené adresy peňaženky a heslá na obnovenie, ktoré už útočník pozná. Túto metódu by mohol použiť hanebný herec na zmenu destinácií peňaženky a predstavuje to ich vlastné rozmary a fantázie, čím sa peňaženka stáva úplne zbytočnou a dokonca nebezpečnou.
Rashid v novembri minulého roka súkromne odhalil zraniteľnosť úradníkom Ledgeru a úradníkom Ledgeru nakoniec pred dvoma týždňami vydal opravu s tvrdením, že problém nebol kritický – tvrdenie, ktoré Rashid verejne uviedol vyzvaní.
Saleem Rashid tiež neberie Ledgerovo slovo o oprave a povedal, že si opravu preštuduje, aby zistil, či skutočne úplne opraví zraniteľnosť. Aj keby sa tak stalo, Rashid sa domnieva, že mierne úpravy jeho kódu by pravdepodobne mohli otvoriť peňaženku Ledger.