Письмо от CEO Ledger Паскаля Готье по поводу эксплойта Ledger Connect Kit

Письмо от CEO Ledger Паскаля Готье по поводу эксплойта Ledger Connect Kit

6 месяцев назад Евгений Тюликов

Популярное

Лучшее за неделю

Что нужно знать

  • 14 декабря 2023 года компания Ledger столкнулась с уязвимостью Ledger Connect Kit, Javascript-библиотекой для подключения веб-сайтов к кошелькам.
  • В сотрудничестве с Ledger специалисты индустрии нейтрализовали уязвимость и попытались заморозить украденные средства очень быстро - эксплоит эффективно функционировал менее двух часов.
  • В настоящее время этот эксплойт расследуется, Ledger подала жалобы и будет помогать пострадавшим людям пытаться вернуть средства.
  • Этот эксплойт не влиял и не влияет на целостность оборудования Ledger или Ledger Live.
  • Эксплойт ограничивался сторонними DApps, использующими Ledger Connect Kit.

Письмо Паскаля Готье

Всем привет,

Сегодня мы столкнулись с уязвимостью в Ledger Connect Kit - библиотеке Javascript, которая реализует кнопку, позволяющую пользователям подключать свое устройство Ledger к сторонним DApps (веб-сайтам, связанным с кошельками).

Этот эксплойт стал результатом того, что бывший сотрудник стал жертвой фишинговой атаки, которая позволила злоумышленнику загрузить вредоносный файл в NPMJS ( пакетный менеджер для Javascript-кода, который используется совместно с другими приложениями) Ledger.

Вместе с нашим партнером WalletConnect мы оперативно устранили эксплойт, обновив NPMJS, чтобы удалить и деактивировать вредоносный код в течение 40 минут после обнаружения. Это хороший пример того, как отрасль оперативно работает вместе для решения проблем безопасности.

Теперь я хотел бы рассказать о том, почему это произошло, как мы будем совершенствовать наши методы обеспечения безопасности, чтобы в будущем снизить этот специфический риск, и поделиться нашими рекомендациями с индустрией, чтобы мы могли стать сильнее вместе.

Стандартная практика в Ledger заключается в том, что ни один человек не может развернуть код без проверки несколькими специалистами. У нас есть строгий контроль доступа, внутренние проверки и мультиподписи кода, которые применяются в большей части наших разработок. Это касается 99% наших внутренних систем. Любой сотрудник, покидающий компанию, лишается доступа ко всем системам Ledger.

Это был досадный единичный случай. Это напоминание о том, что в вопросах безопасности нет ничего неизменного, и Ledger должна постоянно совершенствовать наши системы и процессы безопасности. Ledger будет внедрять современные средства контроля безопасности, подключая наш CI/CD, который обеспечивает строгую безопасность цепочки поставок программного обеспечения, к каналу распространения NPM.

Это также напоминание о том, что все вместе мы должны продолжать повышать планку безопасности для DApps, где пользователи будут использовать браузерную подпись. В этот раз эксплуатировался сервис Ledger, но в будущем это может произойти с другим сервисом или библиотекой.

ADS

CommEX - удобная и надежная криптовалютная биржа, где вы можете купить Bicoin, Etherium и другие криптовалюты всего за несколько кликов! Зарегистрироваться сейчас!

В Ledger мы считаем, что прозрачная подпись, в отличие от слепой, поможет смягчить эти проблемы. Если пользователь будет видеть что он подписывает, то можно избежать непреднамеренного подписания мошеннических транзакций.

Ledger-устройства - это открытые платформы. В Ethereum есть система плагинов, которая позволяет DApps реализовать прозрачную подпись, и DApps, которые хотели бы внедрить эту защиту для своих пользователей, могут узнать, как это сделать, на сайте developer.ledger.com. Сегодня мы увидели, как сообщество сплотилось, и мы надеемся на вашу помощь в обеспечении прозрачной подписи для всех DApps.

Ledger взаимодействует с властями и делает все возможное, для того чтобы оказать помощь в ходе расследования. Ledger будет поддерживать пострадавших пользователей, чтобы помочь найти этого злоумышленника, привлечь его к ответственности и отследить средства. Мы будем сотрудничать с правоохранительными органами, чтобы помочь вернуть украденные активы. Мы глубоко сожалеем о событиях, которые развернулись сегодня.

Сейчас ситуация находится под контролем, и угроза миновала. Мы понимаем, какую панику это вызвало у сообщества и всей экосистемы.

Ниже доступна полная хронология событий, чтобы вы могли увидеть, как отреагировали на ситуацию наша команда и партнеры.

Спасибо, Паскаль Готье

Читайте также: Уязвимость Connect Kit вызвала критику в сторону безопасности Ledger

Хронология событий

Этим утром по CET бывший сотрудник Ledger стал жертвой фишинговой атаки, в результате которой был получен доступ к его аккаунту NPMJS. Злоумышленник опубликовал вредоносную версию Ledger Connect Kit (затрагивает версии 1.1.5, 1.1.6 и 1.1.7). Вредоносный код использовал неавторизованный проект WalletConnect для перенаправления средств на хакерский кошелек. Специалисты по технологиям и безопасности Ledger были оповещены, и исправление было развернуто в течение 40 минут после того, как Ledger стало известно об этом. Вредоносный файл существовал около 5 часов, однако мы считаем, что окно, через которое были выведены средства, не превышало двух часов. Ledger скоординировал свои действия с WalletConnect, который быстро отключил мошеннический проект. Подлинный и проверенный Ledger Connect Kit версии 1.1.8 в настоящее время распространяется и является безопасным для использования.

Для разработчиков, которые разрабатывают и взаимодействуют с кодом Ledger Connect Kit: NPM теперь доступен только для чтения по соображениям безопасности. Внутри компании мы провели ротацию GitHub Secrets. Разработчики, пожалуйста, проверьте еще раз, что вы используете последнюю версию, 1.1.8.

Ledger вместе с WalletConnect и нашими партнерами сообщили адрес кошелька злоумышленника. Теперь этот адрес можно увидеть на Chainalysis. Tether заблокировал USDT злодея.

Мы напоминаем пользователям, чтобы они всегда использовали Clear Sign в своем Ledger. То, что вы видите на экране леджера, - это то, что вы подписываете на самом деле. Если вам все же нужно поставить слепую подпись, используйте дополнительный кошелек Ledger mint или разбирайте транзакцию вручную. Мы активно общаемся с клиентами, чьи средства могли пострадать, и в данный момент активно работаем над тем, чтобы помочь этим людям. Мы также подаем жалобу и работаем с правоохранительными органами в рамках расследования, чтобы найти злоумышленника. Кроме того, мы изучаем эксплойт, чтобы избежать дальнейших атак. Мы считаем, что адрес злоумышленника, на который были выведены средства, находится здесь: 0x658729879fca881d9526480b82ae00efc54b5c2d

Мы хотели бы поблагодарить WalletConnect, Tether, Chainalysis, zachxbt и все сообщество, которое помогло и продолжает помогать нам быстро выявить и разобраться с этой атакой. С помощью всего сообщества безопасность всегда будет побеждать.

Источник

Дата публикации: 15.12.2023

Подписывайтесь на VueDeFi в социальных сетях

Присоединяйтесь к VueDeFi на KuCoin и получайте эксклюзивные награды. Присоединяйтесь к VueDeFi на OKX и получайте эксклюзивные награды.

Дисклеймер

Информация, представленная на этом вебсайте, не является инвестиционным, финансовым, торговым или любым другим советом, и читатель не должен рассматривать любое содержимое сайта как таковое.

Всем пользователям настоятельно рекомендуется провести собственное исследование или обратиться к независимому и квалифицированному финансовому консультанту. Читатель самостоятельно несет полную ответственность за любые действия, совершаемые им на основании информации, полученной на нашем вебсайте.

Подробнее

Читайте также

Binance оштрафована на $2,25 млн индийским подразделением финансовой полиции

Binance оштрафована на $2,25 млн индийским подразделением финансовой полиции

Индийская Финансовая полиция оштрафовала криптовалютную биржу Binance на 2,25 миллиона долларов за нарушения правил по борьбе с отмыванием денег. Штраф был наложен после расследования, выявившего многочисленные несоблюдения Закона о предотвращении отмывания денег (PMLA) 2002 года.

Kraken обвиняет исследователя безопасности в вымогательстве после обнаружения бага

Kraken обвиняет исследователя безопасности в вымогательстве после обнаружения бага

Криптовалютная биржа Kraken оказалась в центре скандала после заявления о вымогательстве со стороны исследователя безопасности, который обнаружил критический баг в системе.