Что нужно знать
- 14 декабря 2023 года компания Ledger столкнулась с уязвимостью Ledger Connect Kit, Javascript-библиотекой для подключения веб-сайтов к кошелькам.
- В сотрудничестве с Ledger специалисты индустрии нейтрализовали уязвимость и попытались заморозить украденные средства очень быстро - эксплоит эффективно функционировал менее двух часов.
- В настоящее время этот эксплойт расследуется, Ledger подала жалобы и будет помогать пострадавшим людям пытаться вернуть средства.
- Этот эксплойт не влиял и не влияет на целостность оборудования Ledger или Ledger Live.
- Эксплойт ограничивался сторонними DApps, использующими Ledger Connect Kit.
Письмо Паскаля Готье
Всем привет,
Сегодня мы столкнулись с уязвимостью в Ledger Connect Kit - библиотеке Javascript, которая реализует кнопку, позволяющую пользователям подключать свое устройство Ledger к сторонним DApps (веб-сайтам, связанным с кошельками).
Этот эксплойт стал результатом того, что бывший сотрудник стал жертвой фишинговой атаки, которая позволила злоумышленнику загрузить вредоносный файл в NPMJS ( пакетный менеджер для Javascript-кода, который используется совместно с другими приложениями) Ledger.
Вместе с нашим партнером WalletConnect мы оперативно устранили эксплойт, обновив NPMJS, чтобы удалить и деактивировать вредоносный код в течение 40 минут после обнаружения. Это хороший пример того, как отрасль оперативно работает вместе для решения проблем безопасности.
Теперь я хотел бы рассказать о том, почему это произошло, как мы будем совершенствовать наши методы обеспечения безопасности, чтобы в будущем снизить этот специфический риск, и поделиться нашими рекомендациями с индустрией, чтобы мы могли стать сильнее вместе.
Стандартная практика в Ledger заключается в том, что ни один человек не может развернуть код без проверки несколькими специалистами. У нас есть строгий контроль доступа, внутренние проверки и мультиподписи кода, которые применяются в большей части наших разработок. Это касается 99% наших внутренних систем. Любой сотрудник, покидающий компанию, лишается доступа ко всем системам Ledger.
Это был досадный единичный случай. Это напоминание о том, что в вопросах безопасности нет ничего неизменного, и Ledger должна постоянно совершенствовать наши системы и процессы безопасности. Ledger будет внедрять современные средства контроля безопасности, подключая наш CI/CD, который обеспечивает строгую безопасность цепочки поставок программного обеспечения, к каналу распространения NPM.
Это также напоминание о том, что все вместе мы должны продолжать повышать планку безопасности для DApps, где пользователи будут использовать браузерную подпись. В этот раз эксплуатировался сервис Ledger, но в будущем это может произойти с другим сервисом или библиотекой.
В Ledger мы считаем, что прозрачная подпись, в отличие от слепой, поможет смягчить эти проблемы. Если пользователь будет видеть что он подписывает, то можно избежать непреднамеренного подписания мошеннических транзакций.
Ledger-устройства - это открытые платформы. В Ethereum есть система плагинов, которая позволяет DApps реализовать прозрачную подпись, и DApps, которые хотели бы внедрить эту защиту для своих пользователей, могут узнать, как это сделать, на сайте developer.ledger.com. Сегодня мы увидели, как сообщество сплотилось, и мы надеемся на вашу помощь в обеспечении прозрачной подписи для всех DApps.
Ledger взаимодействует с властями и делает все возможное, для того чтобы оказать помощь в ходе расследования. Ledger будет поддерживать пострадавших пользователей, чтобы помочь найти этого злоумышленника, привлечь его к ответственности и отследить средства. Мы будем сотрудничать с правоохранительными органами, чтобы помочь вернуть украденные активы. Мы глубоко сожалеем о событиях, которые развернулись сегодня.
Сейчас ситуация находится под контролем, и угроза миновала. Мы понимаем, какую панику это вызвало у сообщества и всей экосистемы.
Ниже доступна полная хронология событий, чтобы вы могли увидеть, как отреагировали на ситуацию наша команда и партнеры.
Спасибо, Паскаль Готье
Читайте также: Уязвимость Connect Kit вызвала критику в сторону безопасности Ledger
Хронология событий
Этим утром по CET бывший сотрудник Ledger стал жертвой фишинговой атаки, в результате которой был получен доступ к его аккаунту NPMJS. Злоумышленник опубликовал вредоносную версию Ledger Connect Kit (затрагивает версии 1.1.5, 1.1.6 и 1.1.7). Вредоносный код использовал неавторизованный проект WalletConnect для перенаправления средств на хакерский кошелек. Специалисты по технологиям и безопасности Ledger были оповещены, и исправление было развернуто в течение 40 минут после того, как Ledger стало известно об этом. Вредоносный файл существовал около 5 часов, однако мы считаем, что окно, через которое были выведены средства, не превышало двух часов. Ledger скоординировал свои действия с WalletConnect, который быстро отключил мошеннический проект. Подлинный и проверенный Ledger Connect Kit версии 1.1.8 в настоящее время распространяется и является безопасным для использования.
Для разработчиков, которые разрабатывают и взаимодействуют с кодом Ledger Connect Kit: NPM теперь доступен только для чтения по соображениям безопасности. Внутри компании мы провели ротацию GitHub Secrets. Разработчики, пожалуйста, проверьте еще раз, что вы используете последнюю версию, 1.1.8.
Ledger вместе с WalletConnect и нашими партнерами сообщили адрес кошелька злоумышленника. Теперь этот адрес можно увидеть на Chainalysis. Tether заблокировал USDT злодея.
Мы напоминаем пользователям, чтобы они всегда использовали Clear Sign в своем Ledger. То, что вы видите на экране леджера, - это то, что вы подписываете на самом деле. Если вам все же нужно поставить слепую подпись, используйте дополнительный кошелек Ledger mint или разбирайте транзакцию вручную. Мы активно общаемся с клиентами, чьи средства могли пострадать, и в данный момент активно работаем над тем, чтобы помочь этим людям. Мы также подаем жалобу и работаем с правоохранительными органами в рамках расследования, чтобы найти злоумышленника. Кроме того, мы изучаем эксплойт, чтобы избежать дальнейших атак. Мы считаем, что адрес злоумышленника, на который были выведены средства, находится здесь: 0x658729879fca881d9526480b82ae00efc54b5c2d
Мы хотели бы поблагодарить WalletConnect, Tether, Chainalysis, zachxbt и все сообщество, которое помогло и продолжает помогать нам быстро выявить и разобраться с этой атакой. С помощью всего сообщества безопасность всегда будет побеждать.
Подписывайтесь на VueDeFi в социальных сетях
Дисклеймер
Информация, представленная на этом вебсайте, не является инвестиционным, финансовым, торговым или любым другим советом, и читатель не должен рассматривать любое содержимое сайта как таковое.
Всем пользователям настоятельно рекомендуется провести собственное исследование или обратиться к независимому и квалифицированному финансовому консультанту. Читатель самостоятельно несет полную ответственность за любые действия, совершаемые им на основании информации, полученной на нашем вебсайте.
