Alles over cryptogeld, in gewone mensentaal.

Zorg ervoor dat je je spaargeld niet verliest!

Kritieke bug in Ledger Nano S, cruciaal dat je update

Peter Slagter
Peter Slagter

Bijna anderhalve maand geleden kwam Ledger met een firmware update voor de Nano S. Daarin is een kritische bug opgelost die gebruikt kan worden om al je geld van alle accounts af te halen zonder dat je het door hebt. Nog niet geüpdate? Doen!

Veiligheid

“Veiligheidsverbeteringen”

Onder die noemer noemt Ledger het oplossen van een kritische bug bij het uitbrengen van firmware-versie 1.5.5. In de lijst met veiligheidsverbeteringen staat dat een “kritische kwetsbaarheid in de Bitcoin-app is opgelost die door Mycelium is gerapporteerd”.

Er volgt een korte alinea met een dankwoord aan Sergey Lappo, voormalig ontwikkelaar bij Mycelium. Hij rapporteerde de kwetsbaarheid op een “verantwoorde manier”, en daar is Ledger hem dankbaar voor.

Wat volgt is... vrij weinig. Je zou verwachten dat Ledger het updaten van de firmware verplicht stelt, of in ieder geval van de daken schreeuwt dat het écht nodig is om een update uit te voeren. Dat lijkt niet gebeurd te zijn.

Updaten!

Als je geld bewaart op een hardware wallet, is het echt belangrijk dat je ervoor zorgt dat je van de meest recente firmware gebruikmaakt. Firmware kan je zien als het besturingssysteem van je portemonnee. Als daar een (kritieke) bug in zit, kan dat verregaande gevolgen hebben.

Je firmware moet minimaal versie 1.5.5 zijn. Is je firmware lager dan dat? Zorg er dan voor dat je update. Hier staat beschreven hoe je dat doet. Je kunt ook deze video-tutorial volgen:

Loop je risico?

Als je van oude firmware gebruikt: ja! Op deze manier kan een kwaadwillende je geld stelen:

  1. Je start een betaling met gebruik van malafide software.
  2. Ongemerkt worden alle munten gebruikt als input.
  3. De Ledger wordt voor de gek gehouden en gebruikt een aangepast ontvangstadres.
  4. Je bevestigt de transactie, die er voor jou normaal uitziet.
  5. De aanvaller ontvangt al je geld.

Hier zie je het uitbaten van de bug in werking:

Je zou bijna zeggen dat het voor de gewone gebruiker beter is om een custodial wallet te hebben, waar de boel professioneel beheerd wordt en verzekerd is tegen hacks/verlies. Wallie, kom er maar in?

Het best is natuurlijk om je eigen geld te beheren. Immers: “Not your keys, not your coins”. Zorg er wél voor dat je de kluis waar je geld in bewaart veilig is!

Peter Slagter

Peter Slagter

Eén van de oprichters van LekkerCryptisch. Actief met cryptovaluta sinds de opkomst van de bitcoin. Houdt van het innovatieve karakter van crypto en blockchaintechnologie, en volgt de ontwikkelingen in de markt op de voet. Verbindt graag techniek met business, en houdt ervan moeilijke concepten toegankelijk te maken voor een breed publiek.

Meer nieuws

Reageer

Wil je naar aanleiding van dit bericht verder praten? Heb je een vraag, een aanvulling, of had je het zelf anders geschreven? Laat het ons weten, en praat mee in onze community. Veel directer, én een stuk gezelliger dan zo'n ouderwets reactieformulier. De groep is actief, behulpzaam, en voor iedereen toegankelijk.

Blijf op de hoogte

Wil je direct nieuwe blogposts lezen? Alle nieuwe publicaties plaatsen we op Twitter. Je kunt daar ook de belangrijkste ontwikkelingen volgen.