Ledger Nano S+Electrum neautorizirana transakcija!

[Lucius]

Prije nekoliko dana otvorena je vrlo zanimljiva tema u kojoj jedna osoba tvrdi da je prilikom koristenja Nano S+Electrum i provedene transkacije koja je bila legitimna i odobrena, doslo do jos jedne transakcije koja je ispraznila veci dio novcanika i poslala ga na potpuno nepoznatu adresu. Moram napomenuti da se radi od cak 35 BTC koji su trenutno potpuno nedostupni vlasniku, iako se jos uvijek nisu pomakli sa adrese na koju su poslani.

Sve upucuje da se radi o necemu sto se zove change path attacks, u kojem napadac nakon legalne uspijeva napraviti jos jednu nelegalnu transakciju i poslati coine na novu adresu koje je dio novcanika, ali na nacin da ce zakomplicirati stvari promjenom putanje i na taj nacin zakopati transakciju tako duboko da ju samo on moze pronaci. Tada sljedi kontaktiranje vlasnika i trazenje otkupnine za informaciju, sto se jos u ovome slucaju nije dogodilo (a moguce je da se radi samo o necemu slicnome).

Ovo je definitivno nesto sto se moze nazvati prava nocna mora sa obzirom da vjerujemo da je hardware novcanik prilicno siguran ako je seed osiguran. Sa obzirom da je ovo potpuno izoliran slucaj nema mjesta panici, ali opreza nikada dosta.

Link na topic : Fraudulent transaction along with the correct one(Ledger Nano S + Electrum)
Transakcija : https://www.blockchain.com/btc/tx/c13bc920b65046af6eebefb83db0260b6e99be4d994a81c51e50df71ff67494e

[1713442231]

1713442231

[Pmalek]

Jedna zaista neobično situacija. Ne mogu se sjetiti da sam nešto slično vidio, pogotovo kada su u pitanju hardverski novčanici.
Ako se može reći da ima nešto pozitivno u ovome onda je to činjenica da se Bitcoin još uvijek nalazi na toj adresi na koju je na neki način i poslan.

[dkbit98]

Koliko vidim potrebno je da računar bude inficiran.
Jasno je da se transakcija ne može naći na Ledgeru ali se pitam da li je moguće naći je ako se Ledger konektuje sa Electrum novčanikom?

[slackovic]

Ovo me sad baš prepalo jer sam neki dan koristio Electrum wallet da konsolidiram hrpu BTC inputa. Hvala Bogu da se nije dogodilo ništa slično. Kad bi imao ovoliko BTC-a kao čovjek kojem se to dogodilo, mislim da ne bi više ni pomislio na korištenje Electrum walleta. Pogotovo kad su ga tako odbili nakon što im se javio za podršku. Pa ne radi se o stotinjak dolara!

U svakom slučaju mi djeluje kao problem inficiranog računala. Po ovome:

Downloaded Malwarebytes after it happened and ran a scan - only some PUPs but the realtime protection detected 2 things afterwards: Malicious site "exs[dot]ignorelist[dot]com pointing to electrum-3.3.8.exe and qualified as an exploit and endthefed[dot]onthewifi[dot]com pointing to electrum-3.3.8.exe qualified as "Phishing", so this might be a lead even if I don't see what a server can do to cause this.

mi se čini da se radi o inficiranom Electrum walletu.

Mene zapravo čudi zašto se očekuje da bi napadač od vlasnika tražio otkupninu? Pa čovjek (napadač) je "maznuo" 35 BTC. Što mu više treba?

[Pmalek]

Jasno je da se transakcija ne može naći na Ledgeru ali se pitam da li je moguće naći je ako se Ledger konektuje sa Electrum novčanikom?

Moguće da je on tako nešto već pokušao. U zadnjem postu kojeg je napisao kaže da je generirao preko 50M adresa sa svojim seedom ali nije pronašao adresu na koju je Bitcoin poslan.
Često se viđaju postovi korisnika koji krive određenu uslugu za probleme koje su sami napravili ali imam osječaj da to ovdje nije slučaj nego da je zaista nešto drugo u pitanju.

[slackovic]

Još sam nešto zaboravio napomenuti... Ne mogu vjerovati da čovjek nije provjerio PGP potpis instalacijske datoteke Electrum walleta obzirom na to koliku količinu BTC-a ima. Znam da to ljudima nije prvo na pameti i najčešće zaborave, ali ovdje se radi o stotinama tisuća dolara!

[Lucius]

Koliko vidim potrebno je da računar bude inficiran.
Jasno je da se transakcija ne može naći na Ledgeru ali se pitam da li je moguće naći je ako se Ledger konektuje sa Electrum novčanikom?

Nije poznato kako je doslo do ovoga, odnosno sto je napravilo drugu transakciju, ali definitivno je nesto sto ima veze sa Nano S i Electrum novcanikom. Kao sto sam gore naveo cijeli slucaj nalikuje na change path attacks. Electrum moze pomoci jedino kao korisnicko sucelje preko kojega se mogu pretraziti adrese koje je generirao Ledger na nacin da se povecava gap limit unutar Electrum konzole.

Mene zapravo čudi zašto se očekuje da bi napadač od vlasnika tražio otkupninu? Pa čovjek (napadač) je "maznuo" 35 BTC. Što mu više treba?

Ako procitas kako funkcionira change path attack, onda ces vidjeti da napadac nije maznuo nista, vec je samo "sakrio" vlasnikove coine u njegov vlastiti novcanik na jedan vrlo kompliciran nacin. Usporedio bih to sa ransomware koji kriptira datoteke na tvome racunalu, da bi dosao do njih moras platiti otkupninu. Jos jednom ponavljam da nikakva otkupnina do sada nije zatrazena u konkretnome slucaju, ali niti da se BTC jos nije pomaknuo sa adrese na koju je poslan.

Sto se tice verificiranja fajlova (Electrum) istina je da ih nije provjerio prije instalacije, ali je naknadnom provjerom u pregledniku nedvojbeno utvrdio da je Electrum preuzet sa legitimne stranice, te da je instalacijska datoteka legitimna. Moguce je da takodjer da se radi o nekakvom bugu u Ledger firmware 1.6.