Alle Käufe in der Ledger Live App gehen auf denselben BTC
Home › Foren › Ledger Wallet › Alle Käufe in der Ledger Live App gehen auf denselben BTC
- Dieses Thema hat 8 Antworten und 1 Teilnehmer, und wurde zuletzt aktualisiert vor 2 Monaten, 4 Wochen von [deleted].
-
AutorBeiträge
-
-
5. Februar 2024 um 07:12 Uhr #3394959root_s2yse8vtAdministrator::
Bearbeiten: Titel sollte lauten “…dieselbe BTC-Adresse”.
Ich habe mit dem Ledger-Support kommuniziert und glaube, ein Problem gefunden zu haben, bei dem dieselbe Empfangsadresse für jeden BTC-Kauf über die Anwendung wiederverwendet wird. Eine offensichtliche Sicherheitslücke.
Ich habe mehrere Beispielkäufe mit App-Protokollen, die darauf hindeuten, dass eine eindeutige Adresse generiert wird – aber alle Käufe über eine On-Rampe scheinen bereits die gleiche Empfangsadresse zu haben – sie wird nicht für jeden Kauf aktualisiert, wie ich es erwarten würde.
Kennt noch jemand dieses Problem?
Ich kann diesen Beitrag mit Beispielen und Protokollen aktualisieren, sobald ich die Möglichkeit habe, wichtige Informationen zu schwärzen.
Ich habe einen Ledger im Vertrauen auf seine Sicherheit gekauft – aber angesichts der Verwendung der gleichen Empfangsadresse verstehe ich nicht, wie er von Haus aus sicher sein kann?
Von dem, was ich sagen kann – um über die App zu kaufen und an eine neue, eindeutige Adresse zu senden, müssten Sie –
1. Zugriff auf eine Empfängeradresse über die Ledger Live-App.
2. Diese Adresse mit meinem Ledger-Gerät verifizieren.
3. Kopieren oder speichern Sie die Empfangsadresse.
4. Starten Sie einen Kauf über die Ledger-Live-App
5. Holen Sie ein Angebot ein und wählen Sie einen Anbieter über eine von Ihnen erstellte Integration.
6. Sofortige Rückverfolgung des ausgelösten Auftrags und (sofern möglich – nicht alle Anbieter scheinen dies aufgrund der von Ihnen gewählten Integrationsmethode zuzulassen).
7. Aktualisieren Sie die Empfängeradresse aus Schritt 3.
8. Schließen Sie den Kauf ab.Transak ist einer von zwei Anbietern, bei denen ich Probleme festgestellt habe – wenn wir ihre Integrationsdokumente überprüfen –
https://docs.transak.com/docs/pass-information-on-behalf-of-the-user-and-skip-screens
Wir können deutlich sehen, wenn ein Kauf von einem Client wie Ledger Live ausgelöst wird und Parameter wie der Wert und die Währung mit der Nutzlast der Anfrage vorausgefüllt werden – sollte die Empfängeradresse in dieser Anfrage nicht auch korrekt angegeben werden?
Beispielprotokoll, als ich um 01:51 Uhr eine Bestellung aufgab.
“message”: “getUniquesAddresses”,
“Nachricht”: “getUniquesAddresses”,
Es sieht auf jeden Fall so aus, als würde eine eindeutige Adresse generiert werden…
Ich habe diesen Kauf abgeschlossen und es war das vierte Mal, dass BTC an die gleiche Adresse geschickt wurde wie bei meinem allerersten Kauf über einen völlig anderen Anbieter.
Die Tatsache, dass es sich um einen neuen Anbieter handelte, schließt aus, dass die BTC-Adresse von dem Konto auf der Rampe oder ähnlichem stammt.
Hat noch jemand dasselbe beobachtet? Das scheint ein ziemlich großes Sicherheitsproblem zu sein und hat mich bei Käufen über die App sehr misstrauisch gemacht.
App-Version – 3.37.0 (18)
Ledger Nano X
Sicheres Element 2.2.3Der springende Punkt ist, dass Schlüsselparameter wie der Wert, die Währung und vor allem die Empfangsadresse nicht von der dritten Partei bestimmt werden – die Nutzdaten der Anfrage mit den relevanten Parametern kommen von der Anwendung.
Ich möchte mir die Mühe wirklich nicht machen… aber mein nächster Schritt wäre, einen lokalen Proxy einzurichten – die Anfragen abzufangen, die von Ihrer Anwendung aus an Dritte gestellt werden, wenn ein Kauf getätigt wird, um meinen Standpunkt zu beweisen oder zu widerlegen. Was enthält der anfängliche Kauf-Payload? Ich wette, es ist eine alte BTC-Adresse oder möglicherweise gar keine.
Jeder Beitrag ist willkommen.
Bearbeiten: Ich glaube, dies ist auch ein Problem mit LTC zu (x2 Käufe an die gleiche Adresse). Weniger Daten zu diesem, aber das Kernproblem scheint das gleiche – Empfangsadresse in der ursprünglichen Netzwerkanforderung an Dritte angegeben, um Kauf auslösen.
-
5. Februar 2024 um 07:12 Uhr #3394961spypsyGast::
Are you saying the unique generated Receive address goes to the same wallet?
If so, that’s by design and how it works, it is essentially a Many-to-1 setup, with each unique Receive address being linked to your Private Key.
This helps by reducing visibility that many transactions going to a singular wallet on the public ledger.
-
5. Februar 2024 um 07:12 Uhr #3394962
-
5. Februar 2024 um 07:12 Uhr #3394963
-
5. Februar 2024 um 07:12 Uhr #3394964
-
5. Februar 2024 um 07:12 Uhr #3394965
-
5. Februar 2024 um 07:12 Uhr #3394966
-
5. Februar 2024 um 07:12 Uhr #3394967crozukGast::
The Ledger team have certainly piped up on X – https://x.com/richarddcrosby/status/1747418797231800773?s=46
-
5. Februar 2024 um 07:12 Uhr #3394968
-
-
AutorBeiträge
- Du musst angemeldet sein, um auf dieses Thema antworten zu können.