Письмо от CEO Ledger Паскаля Готье по поводу эксплойта Ledger Connect Kit

Письмо от CEO Ledger Паскаля Готье по поводу эксплойта Ledger Connect Kit

4 месяца назад Евгений Тюликов

Популярное

Лучшее за неделю

Что нужно знать

  • 14 декабря 2023 года компания Ledger столкнулась с уязвимостью Ledger Connect Kit, Javascript-библиотекой для подключения веб-сайтов к кошелькам.
  • В сотрудничестве с Ledger специалисты индустрии нейтрализовали уязвимость и попытались заморозить украденные средства очень быстро - эксплоит эффективно функционировал менее двух часов.
  • В настоящее время этот эксплойт расследуется, Ledger подала жалобы и будет помогать пострадавшим людям пытаться вернуть средства.
  • Этот эксплойт не влиял и не влияет на целостность оборудования Ledger или Ledger Live.
  • Эксплойт ограничивался сторонними DApps, использующими Ledger Connect Kit.

Письмо Паскаля Готье

Всем привет,

Сегодня мы столкнулись с уязвимостью в Ledger Connect Kit - библиотеке Javascript, которая реализует кнопку, позволяющую пользователям подключать свое устройство Ledger к сторонним DApps (веб-сайтам, связанным с кошельками).

Этот эксплойт стал результатом того, что бывший сотрудник стал жертвой фишинговой атаки, которая позволила злоумышленнику загрузить вредоносный файл в NPMJS ( пакетный менеджер для Javascript-кода, который используется совместно с другими приложениями) Ledger.

Вместе с нашим партнером WalletConnect мы оперативно устранили эксплойт, обновив NPMJS, чтобы удалить и деактивировать вредоносный код в течение 40 минут после обнаружения. Это хороший пример того, как отрасль оперативно работает вместе для решения проблем безопасности.

Теперь я хотел бы рассказать о том, почему это произошло, как мы будем совершенствовать наши методы обеспечения безопасности, чтобы в будущем снизить этот специфический риск, и поделиться нашими рекомендациями с индустрией, чтобы мы могли стать сильнее вместе.

Стандартная практика в Ledger заключается в том, что ни один человек не может развернуть код без проверки несколькими специалистами. У нас есть строгий контроль доступа, внутренние проверки и мультиподписи кода, которые применяются в большей части наших разработок. Это касается 99% наших внутренних систем. Любой сотрудник, покидающий компанию, лишается доступа ко всем системам Ledger.

Это был досадный единичный случай. Это напоминание о том, что в вопросах безопасности нет ничего неизменного, и Ledger должна постоянно совершенствовать наши системы и процессы безопасности. Ledger будет внедрять современные средства контроля безопасности, подключая наш CI/CD, который обеспечивает строгую безопасность цепочки поставок программного обеспечения, к каналу распространения NPM.

Это также напоминание о том, что все вместе мы должны продолжать повышать планку безопасности для DApps, где пользователи будут использовать браузерную подпись. В этот раз эксплуатировался сервис Ledger, но в будущем это может произойти с другим сервисом или библиотекой.

В Ledger мы считаем, что прозрачная подпись, в отличие от слепой, поможет смягчить эти проблемы. Если пользователь будет видеть что он подписывает, то можно избежать непреднамеренного подписания мошеннических транзакций.

Ledger-устройства - это открытые платформы. В Ethereum есть система плагинов, которая позволяет DApps реализовать прозрачную подпись, и DApps, которые хотели бы внедрить эту защиту для своих пользователей, могут узнать, как это сделать, на сайте developer.ledger.com. Сегодня мы увидели, как сообщество сплотилось, и мы надеемся на вашу помощь в обеспечении прозрачной подписи для всех DApps.

ADS

Награды для новичков на Bybit! Зарегистрируйтесь, внесите депозит, совершите сделку и получите до 30,000 USDT! Получить награду.

Ledger взаимодействует с властями и делает все возможное, для того чтобы оказать помощь в ходе расследования. Ledger будет поддерживать пострадавших пользователей, чтобы помочь найти этого злоумышленника, привлечь его к ответственности и отследить средства. Мы будем сотрудничать с правоохранительными органами, чтобы помочь вернуть украденные активы. Мы глубоко сожалеем о событиях, которые развернулись сегодня.

Сейчас ситуация находится под контролем, и угроза миновала. Мы понимаем, какую панику это вызвало у сообщества и всей экосистемы.

Ниже доступна полная хронология событий, чтобы вы могли увидеть, как отреагировали на ситуацию наша команда и партнеры.

Спасибо, Паскаль Готье

Читайте также: Уязвимость Connect Kit вызвала критику в сторону безопасности Ledger

Хронология событий

Этим утром по CET бывший сотрудник Ledger стал жертвой фишинговой атаки, в результате которой был получен доступ к его аккаунту NPMJS. Злоумышленник опубликовал вредоносную версию Ledger Connect Kit (затрагивает версии 1.1.5, 1.1.6 и 1.1.7). Вредоносный код использовал неавторизованный проект WalletConnect для перенаправления средств на хакерский кошелек. Специалисты по технологиям и безопасности Ledger были оповещены, и исправление было развернуто в течение 40 минут после того, как Ledger стало известно об этом. Вредоносный файл существовал около 5 часов, однако мы считаем, что окно, через которое были выведены средства, не превышало двух часов. Ledger скоординировал свои действия с WalletConnect, который быстро отключил мошеннический проект. Подлинный и проверенный Ledger Connect Kit версии 1.1.8 в настоящее время распространяется и является безопасным для использования.

Для разработчиков, которые разрабатывают и взаимодействуют с кодом Ledger Connect Kit: NPM теперь доступен только для чтения по соображениям безопасности. Внутри компании мы провели ротацию GitHub Secrets. Разработчики, пожалуйста, проверьте еще раз, что вы используете последнюю версию, 1.1.8.

Ledger вместе с WalletConnect и нашими партнерами сообщили адрес кошелька злоумышленника. Теперь этот адрес можно увидеть на Chainalysis. Tether заблокировал USDT злодея.

Мы напоминаем пользователям, чтобы они всегда использовали Clear Sign в своем Ledger. То, что вы видите на экране леджера, - это то, что вы подписываете на самом деле. Если вам все же нужно поставить слепую подпись, используйте дополнительный кошелек Ledger mint или разбирайте транзакцию вручную. Мы активно общаемся с клиентами, чьи средства могли пострадать, и в данный момент активно работаем над тем, чтобы помочь этим людям. Мы также подаем жалобу и работаем с правоохранительными органами в рамках расследования, чтобы найти злоумышленника. Кроме того, мы изучаем эксплойт, чтобы избежать дальнейших атак. Мы считаем, что адрес злоумышленника, на который были выведены средства, находится здесь: 0x658729879fca881d9526480b82ae00efc54b5c2d

Мы хотели бы поблагодарить WalletConnect, Tether, Chainalysis, zachxbt и все сообщество, которое помогло и продолжает помогать нам быстро выявить и разобраться с этой атакой. С помощью всего сообщества безопасность всегда будет побеждать.

Источник

Дата публикации: 15.12.2023

Подписывайтесь на VueDeFi в социальных сетях

Присоединяйтесь к VueDeFi на KuCoin и получайте эксклюзивные награды. Присоединяйтесь к VueDeFi на OKX и получайте эксклюзивные награды.

Дисклеймер

Информация, представленная на этом вебсайте, не является инвестиционным, финансовым, торговым или любым другим советом, и читатель не должен рассматривать любое содержимое сайта как таковое.

Всем пользователям настоятельно рекомендуется провести собственное исследование или обратиться к независимому и квалифицированному финансовому консультанту. Читатель самостоятельно несет полную ответственность за любые действия, совершаемые им на основании информации, полученной на нашем вебсайте.

Подробнее

Читайте также

6 марта Совет Федерации принял решение одобрить важный законопроект

6 марта Совет Федерации принял решение одобрить важный законопроект

6 марта Совет Федерации принял решение одобрить важный законопроект, который открывает новые перспективы для использования цифровых финансовых активов и утилитарных цифровых прав в международных расчетах. Об этом информирует ТАСС.

14 марта РБК-Крипто совместно с BitOK проведут вебинар, посвященный защите обменных пунктов от финансовых преступлений

14 марта РБК-Крипто совместно с BitOK проведут вебинар, посвященный защите обменных пунктов от финансовых преступлений

14 марта ведущий криптовалютный ресурс РБК-Крипто совместно с компанией BitOK проведут важный вебинар, посвященный защите обменных пунктов от финансовых преступлений.

LENA Network была обвинена в совершении rug pull на сумму 753,11 ETH

LENA Network была обвинена в совершении rug pull на сумму 753,11 ETH

Скандальное событие потрясло криптосообщество, когда команда LENA Network была обвинена в совершении rug pull на сумму 753,11 ETH (около $2,8 млн.). Последствия этого инцидента: цена токена проекта рухнула на 89%, в соответствии с данными DEX Screener. Цена упала с $2,6 до всего лишь $0,21, оставляя за собой след разочарования в криптосообществе.

Компания Nexo получила лицензию на предоставление криптовалютных услуг в Дубае

Компания Nexo получила лицензию на предоставление криптовалютных услуг в Дубае

Nexo, организация, предоставляющая цифровые активы, и ведущая криптовалютная кредитная платформа, получила предварительное разрешение от Управления по регулированию виртуальных активов Дубая.