Saleem Rashid, seorang programmer muda yang berusia 15 tahun telah menemukan Vulnerability (kerentanan) di Dompet Ledger Nano S. Ini bukan insiden yang terisolasi, seperti yang dia katakan di akun Twitter-nya, dia juga berkontribusi pada firmware OpenSource Trezor dan telah bekerja sebagai kontraktor untuk NEM, untuk memberikan dukungan dalam menerapkan NEM di Trezor.

Ledger Nano adalah cloud wallet, menurut penciptanya ini sangat rahasia dan tidak akan bisa untuk melihat kunci pribadi di mana transaksi diisolasi di dalam dompet perangkat keras dan diblokir oleh kode PIN. Transaksi tidak dapat dimanipulasi dan mereka secara fisik diverifikasi pada layar dengan satu sentuhan tombol.

Sejauh menyangkut keamanan online, cloud wallet adalah salah satu pilihan terbaik untuk pemegang cryptocurrency untuk menjaga investasi mereka tetap aman – tetapi ketika ada kemungkinan bahwa seseorang dapat secara fisik untuk memanipulasi dompet ini tampaknya itu tidak begitu aman.

Saleem Rashid menemukan cara untuk mendapatkan kode pin yang memblokir dompet sampai bisa dimodifikasi, sehingga dia bisa mendapatkan akses total ke cryptocurrency yang tersimpan di dalamnya.

Sebagaimana dijelaskan oleh programmer muda ini di blognya, celah keamanan ini menyebabkan penyerang dapat memanfaatkannya sebelum pengguna akhir menerimanya, mencuri kunci secara fisik atau bahkan dari jarak jauh.

Cara di mana ia berhasil menemukan celah keamanan ini disebut dengan “serangan pada rantai pasokan” dan menjelaskannya selangkah demi selangkah di blognya, di mana kita juga dapat melihat video di mana dia menjelaskan penemuannya.

Baca juga : Mengejutkan,Token GETX Dari Airdrop Gratis Masuk Exchange Coinbene

Saleem Rashid berkomentar:

“I have not been paid a bounty by Ledger because their responsible disclosure agreement would have prevented me from publishing this technical report.”

Sebelum penerbitan pelanggaran keamanan ini, Saleem menghubungi CEO Ledger tetapi dia menyangkal bahwa kesalahan yang ditemukan sangat penting dan menggambarkan kerentanan itu tidak masuk akal.

Setelah respons ini, ia membuat demonstrasi serangan ke rantai pasokan dengan firmware MCU yang dimodifikasi dan mengirim kode sumber untuk analisisnya.

Sudah 4 bulan sejak peringatan keamanan Saleems sampai ke Ledger untuk memperbarui firmware dari Ledger nano S dan Ledger Blue untuk memperbaiki kerentanan ini.

Sesuatu yang serupa terjadi dengan dompet TREZOR One, di mana Saleem Rashid menemukan pelanggaran keamanan, tetapi kali ini masalahnya diselesaikan dengan percakapan yang lancar antara programmer muda dan tim TREZOR.

Selain itu, Marek Polatinus (CEO SatoshiLabs) memuji Saleem Rashid, berterima kasih kepadanya atas karyanya dan kreativitasnya yang luar biasa, mengatakan bahwa itu telah membantu mereka membuat produk yang lebih baik dan lebih aman.