Hardware wallets en man in the middle aanvallen.

Op 3 februari 2018 verscheen er op bitcoin.com een waarschuwing over een zwaktepunt in de beveiliging van hardware wallets. Een aanvaller zou het ontvangstadres dat in de software van de hardware wallets naar voren komt aan kunnen passen. Op deze manier kunnen gebruikers ongemerkt munten naar het adres van de aanvaller verzenden in plaats van naar hun eigen wallet.  De specifieke details van het zwaktepunt zijn niet zo belangrijk, maar wat gebruikers zich hierdoor wel moeten realiseren is dat je de informatie op het scherm van je PC nooit volledig kunt vertrouwen. Kwaadwillende personen kunnen specifieke informatie op je beeldscherm aanpassen om jou andere transacties te laten doen dan je van plan was. Een vergelijkbare zwakte bestaat bij het doen van transacties. Een aanvaller zou andere data naar de hardware wallet kunnen verzenden dan jij op je computer hebt ingevoerd. Wanneer je vervolgens de transactie op je hardware wallet bevestigd kan het daardoor zijn dat je jouw munten naar een ander adres verzend dan je van plan was.

Reactie van Ledger

Ledger heeft inmiddels een officiële reactie gegeven. Zij geven terecht aan dat dit niet zozeer een zwakte is in de veiligheid van Ledger, maar iets waar alle hardware wallet gebruikers op dienen te letten. Voor zover bekend zijn er nog geen gevallen bekend van mensen die op deze manier bestolen zijn, maar het is wel belangrijk dat mensen zich tegen deze gevaren beschermen. Zorg er dus voor dat je zo veel en zorgvuldig mogelijk gebruik maakt van de mogelijkheid om adressen en transacties te verifiëren via het ingebouwde scherm van de Ledger, Trezor, en KeepKey of de mobiele applicatie van de Digital Bitbox.

Oplossingen

Je kunt deze problemen gelukkig voorkomen. De verschillende hardware wallets bieden de mogelijkheid om je ontvangstadressen en transacties te verifiëren. De Ledger Nano S, Ledger Blue, KeepKey en Trezor maken daarbij gebruik van het ingebouwde scherm. Voor de Digital Bitbox zul je het apparaat moeten koppelen met een mobiele applicatie. 

Instructies voor het koppelen van de Digital Bitbox met de mobiele applicatie kun je hier vinden:


Transactieverificatie

Voor het verifiëren van transacties dien je bij het bevestigen van een transactie op je hardware wallet de transactiedata die op het scherm van de wallet of mobiele app verschijnt zorgvuldig te controleren. Als deze informatie overeenkomt (adres en hoeveelheid) met de transactie die je van plan was te doen kun je deze bevestigen. Het scherm van de hardware wallet of mobiele applicatie geeft altijd precies aan wat er op de blockchain gaat gebeuren en is dus altijd te vertrouwen.

Ontvangstadresverificatie

Om ontvangstadressen te verifiëren geef je de wallet de opdracht om het ontvangstadres op het apparaat of je telefoon te tonen. Het apparaat toont hierbij het ontvangstadres dat je ook op je scherm zou moeten zien. Het apparaat kan daarbij alleen adressen laten zien die bij jouw eigen wallet horen. Wanneer het adres op je hardware wallet of telefoon overeenkomt met het adres op het scherm van je PC weet je zeker dat het adres onderdeel is van jouw wallet.

In de volgende artikelen beschrijven we hoe je in de verschillende hardware wallets je ontvangstadres kunt verifiëren:

Heeft u het antwoord gevonden?