⭐ Merited by johhnyUA (1)
Сегодня компания сообщила что есть проблемы с заменой адреса незаметно путем инъекции джаваскрипт кода. Пока они не уверены что уже были проблемы но ситуация реальная так что осторожней и всегда адрес проверять ещё раз а не из буфера.
Там совсем в другом проблема оказалась. Проверяй, не проверяй - делу не поможет. В wallet.js есть Code:
Account.prototype.getCurrentPublicAddress = function() {
var _ref;
return (_ref = this.wallet.cache) != null ? _ref.get(this.getCurrentPublicAddressPath()) : void 0;
};
var _ref;
return (_ref = this.wallet.cache) != null ? _ref.get(this.getCurrentPublicAddressPath()) : void 0;
};
где можно легко сменить возвращаемое значение на свой адрес, например
Code:
Account.prototype.getCurrentPublicAddress = function() {
var _ref;
return (_ref = this.wallet.cache) != null ? "1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa" : void 0;
};
var _ref;
return (_ref = this.wallet.cache) != null ? "1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa" : void 0;
};
Довольно жопашно, но можно запрашивать на самом леджере выводить адрес на экран и сверять. Но такое пока есть только для биткоин кошелька. Интересно, МЕВ так наебать можно, там же тоже все на стороне клиента делается.
А что еще интереснее, так это строчки кода, которые находятся прямо над теми, о которых написано в отчете:
Code:
Account.prototype.getCurrentChangeAddress = function() {
var _ref;
return (_ref = this.wallet.cache) != null ? _ref.get(this.getCurrentChangeAddressPath()) : void 0;
};
var _ref;
return (_ref = this.wallet.cache) != null ? _ref.get(this.getCurrentChangeAddressPath()) : void 0;
};
Вот здесь ты уже ничего не проверишь.
Пока самый надежный способ это проверять целостность файла wallet.js.
Берешь cryptosteel, набираешь в нем кодовую фразу из 24 слов от Ledger, закапываешь во дворе. В случае утери аппаратного кошелька, его можно восстановить на новый с помощью 24 слов. А тот, кто нашел твой леджер, попытается несколько раз пин-код ввести и после нескольких неверных попыток просто затрется. Как по мне - идеальная защита.
Вопрос в том, что делать, если кто-то найдет твой криптостил 
Если по бамажке еще есть варианты, то тут сразу ясно куда слова подставлять Поэтому стоит задуматься о шифровании сидовой фразы, кто этого еще не сделал.ну так просто надо внимательно проверять адрес куда отправляеш средства. А потом еще раз проверять. Паранойи много не бывает )
Параноикам лучше проверять целость всех файлов.Еще лучше раскидать по разным сидам средства.
Использовать только 1 сид с небольшой суммой для трейдинга, а остальное сливать на разные адреса с разных сидов.
Пока не сделают возможным возврат средств, о какой оплате товаров или услуг можно говорить? Я не понимаю, почему люди утопически думают, что биткоин когда-то станет средством оплаты или тот же лайт, в массовом сегменте конечно. Вы хоть представляете как будут нае... покупателей?
Про paypal слышал?