Alle Käufe in der Ledger Live App gehen auf denselben BTC

Dieses Thema hat 8 Antworten und 1 Teilnehmer, und wurde zuletzt aktualisiert vor 2 Monaten, 4 Wochen von [deleted].

Ansicht von 8 Antwort-Themen

Autor

Beiträge
- 5. Februar 2024 um 07:12 Uhr #3394959
  
  root_s2yse8vt
  Administrator
  
  Up
  0
  Down
  ::
  Bearbeiten: Titel sollte lauten “…dieselbe BTC-Adresse”.
  
  Ich habe mit dem Ledger-Support kommuniziert und glaube, ein Problem gefunden zu haben, bei dem dieselbe Empfangsadresse für jeden BTC-Kauf über die Anwendung wiederverwendet wird. Eine offensichtliche Sicherheitslücke.
  
  Ich habe mehrere Beispielkäufe mit App-Protokollen, die darauf hindeuten, dass eine eindeutige Adresse generiert wird – aber alle Käufe über eine On-Rampe scheinen bereits die gleiche Empfangsadresse zu haben – sie wird nicht für jeden Kauf aktualisiert, wie ich es erwarten würde.
  
  Kennt noch jemand dieses Problem?
  
  Ich kann diesen Beitrag mit Beispielen und Protokollen aktualisieren, sobald ich die Möglichkeit habe, wichtige Informationen zu schwärzen.
  
  Ich habe einen Ledger im Vertrauen auf seine Sicherheit gekauft – aber angesichts der Verwendung der gleichen Empfangsadresse verstehe ich nicht, wie er von Haus aus sicher sein kann?
  
  Von dem, was ich sagen kann – um über die App zu kaufen und an eine neue, eindeutige Adresse zu senden, müssten Sie –
  
  1. Zugriff auf eine Empfängeradresse über die Ledger Live-App.
  2. Diese Adresse mit meinem Ledger-Gerät verifizieren.
  3. Kopieren oder speichern Sie die Empfangsadresse.
  4. Starten Sie einen Kauf über die Ledger-Live-App
  5. Holen Sie ein Angebot ein und wählen Sie einen Anbieter über eine von Ihnen erstellte Integration.
  6. Sofortige Rückverfolgung des ausgelösten Auftrags und (sofern möglich – nicht alle Anbieter scheinen dies aufgrund der von Ihnen gewählten Integrationsmethode zuzulassen).
  7. Aktualisieren Sie die Empfängeradresse aus Schritt 3.
  8. Schließen Sie den Kauf ab.
  
  Transak ist einer von zwei Anbietern, bei denen ich Probleme festgestellt habe – wenn wir ihre Integrationsdokumente überprüfen –
  
  https://docs.transak.com/docs/pass-information-on-behalf-of-the-user-and-skip-screens
  
  Wir können deutlich sehen, wenn ein Kauf von einem Client wie Ledger Live ausgelöst wird und Parameter wie der Wert und die Währung mit der Nutzlast der Anfrage vorausgefüllt werden – sollte die Empfängeradresse in dieser Anfrage nicht auch korrekt angegeben werden?
  
  Beispielprotokoll, als ich um 01:51 Uhr eine Bestellung aufgab.
  
  “message”: “getUniquesAddresses”,
  
  “Nachricht”: “getUniquesAddresses”,
  
  Es sieht auf jeden Fall so aus, als würde eine eindeutige Adresse generiert werden…
  
  Ich habe diesen Kauf abgeschlossen und es war das vierte Mal, dass BTC an die gleiche Adresse geschickt wurde wie bei meinem allerersten Kauf über einen völlig anderen Anbieter.
  
  Die Tatsache, dass es sich um einen neuen Anbieter handelte, schließt aus, dass die BTC-Adresse von dem Konto auf der Rampe oder ähnlichem stammt.
  
  Hat noch jemand dasselbe beobachtet? Das scheint ein ziemlich großes Sicherheitsproblem zu sein und hat mich bei Käufen über die App sehr misstrauisch gemacht.
  
  App-Version – 3.37.0 (18)
  Ledger Nano X
  Sicheres Element 2.2.3
  
  Der springende Punkt ist, dass Schlüsselparameter wie der Wert, die Währung und vor allem die Empfangsadresse nicht von der dritten Partei bestimmt werden – die Nutzdaten der Anfrage mit den relevanten Parametern kommen von der Anwendung.
  
  Ich möchte mir die Mühe wirklich nicht machen… aber mein nächster Schritt wäre, einen lokalen Proxy einzurichten – die Anfragen abzufangen, die von Ihrer Anwendung aus an Dritte gestellt werden, wenn ein Kauf getätigt wird, um meinen Standpunkt zu beweisen oder zu widerlegen. Was enthält der anfängliche Kauf-Payload? Ich wette, es ist eine alte BTC-Adresse oder möglicherweise gar keine.
  
  Jeder Beitrag ist willkommen.
  
  Bearbeiten: Ich glaube, dies ist auch ein Problem mit LTC zu (x2 Käufe an die gleiche Adresse). Weniger Daten zu diesem, aber das Kernproblem scheint das gleiche – Empfangsadresse in der ursprünglichen Netzwerkanforderung an Dritte angegeben, um Kauf auslösen.
- 5. Februar 2024 um 07:12 Uhr #3394961
  
  spypsy
  Gast
  
  Up
  0
  Down
  ::
  Are you saying the unique generated Receive address goes to the same wallet?
  
  If so, that’s by design and how it works, it is essentially a Many-to-1 setup, with each unique Receive address being linked to your Private Key.
  
  This helps by reducing visibility that many transactions going to a singular wallet on the public ledger.
- 5. Februar 2024 um 07:12 Uhr #3394962
  
  Pied_Film10
  Gast
  
  Up
  0
  Down
  ::
  BUMP and following. I’m interested in a Ledger and want to know what’s up here? Has OP been compromised? Is this an exploit that went undetected?
- 5. Februar 2024 um 07:12 Uhr #3394963
  
  r_a_d_
  Gast
  
  Up
  0
  Down
  ::
  Are you sure that it’s being sent to the same address? You confirmed this on an explorer? Because same wallet =/= same address.
- 5. Februar 2024 um 07:12 Uhr #3394964
  
  montauk87
  Gast
  
  Up
  0
  Down
  ::
  Bumping thread in hope it gets picked up
- 5. Februar 2024 um 07:12 Uhr #3394965
  
  gr8ful4
  Gast
  
  Up
  0
  Down
  ::
  Ledger is a government company now. You use them if you are willing to risk your live and net worth.
- 5. Februar 2024 um 07:12 Uhr #3394966
  
  crozuk
  Gast
  
  Up
  0
  Down
  ::
  Gah missed “address” from the title…
- 5. Februar 2024 um 07:12 Uhr #3394967
  
  crozuk
  Gast
  
  Up
  0
  Down
  ::
  The Ledger team have certainly piped up on X – https://x.com/richarddcrosby/status/1747418797231800773?s=46
- 5. Februar 2024 um 07:12 Uhr #3394968
  
  [deleted]
  Gast
  
  Up
  0
  Down
  ::
  [deleted]
Autor

Beiträge

Ansicht von 8 Antwort-Themen

Du musst angemeldet sein, um auf dieses Thema antworten zu können.