Bit Jungle: Las vulnerabilidades de seguridad de Ledger han afectado a muchas Dapps, y se recomienda reinstalar el sistema en lugar de simplemente borrar la caché

Alrededor de las 20:00 p.m., hora de Beijing, del 14 de diciembre de 2023, varios proyectos como SUSHI y RevokeCash emitieron alertas de seguridad para advertir a los usuarios que no interactuaran con ninguna DAPP.

Bit Jungle fue el primero en intervenir en el análisis y descubrió que los conectores de billetera de estos proyectos estaban integrados con el kit Ledger Connect, que había sido manipulado para contener código malicioso para robar moneda virtual. Alrededor de las 21 p.m., Ledger lanzó la versión 1.1.8 de Connect Kit, que eliminó el código malicioso.

Hasta ahora, el hackeo ha resultado en una pérdida total de alrededor de $ 400,000 para múltiples usuarios.

A continuación se analizará el proceso de implementación, el área de impacto, el proceso de ocurrencia y el equipo de delitos de la vulnerabilidad Ledger. **BitJungle recomienda que los usuarios reinstalen el sistema en lugar de simplemente borrar el caché para resolver el problema de la Dapp afectada más a fondo. ** Para obtener contenido y vistas más detallados, también preste atención a la transmisión en vivo a las 8 p. m. el 22 de diciembre (viernes), y consulte la sección ** “Vista previa del evento” al final de este artículo para obtener información sobre el evento.

¿Cuál es el problema con Ledger?

Un conector de billetera es un protocolo o herramienta que se utiliza para establecer comunicación e interacción entre aplicaciones descentralizadas (DApps) y billeteras de criptomonedas. Su objetivo principal es simplificar el proceso de gestión de activos digitales entre los usuarios y las DApps, permitiendo a los usuarios interactuar con varios servicios y aplicaciones descentralizados utilizando sus billeteras de criptomonedas. Se refleja en el proceso de uso del usuario que cuando la DApp interactúa, se mostrará la página que se conecta a la billetera, como se muestra en la siguiente figura

La página cargará el código de cada conector, como WalletConnect, que es el más utilizado.

El código que se ha modificado maliciosamente esta vez es el conector de Ledger (Ledger Connect Kit), un kit de desarrollo de software (SDK) diseñado para ayudar a los desarrolladores a integrar las billeteras de hardware de Ledger (como Ledger Nano S, Ledger Nano X, etc.) en sus aplicaciones. Proporciona una variedad de API y herramientas que permiten a los desarrolladores interactuar con las billeteras de hardware de Ledger para una administración de activos digitales más segura y confiable.

Muchos sitios DApp usan esta biblioteca para conectarse a las billeteras de hardware Ledger, y algunos sitios (como SushiSwap y Revoke.cash) desconectaron rápidamente sus sitios y eliminaron las bibliotecas afectadas.

¿Cómo aparece el código de Ledger?

Después de verificar por Bitjungle, se descubrió que los sitios web afectados mencionados anteriormente estaban cargados con conectores de billetera ledger y fueron atacados por la cadena de suministro, y el código introducido por el proyecto es el siguiente:

[.] jsdelivr[.] net/npm/@ledgerhq/connect-kit@1

A las 21:10 hora de Pekín, vi la última actualización en la página de lanzamiento de npm de Ledger hace dos horas y, según la comprobación, se descubrió que las versiones 1.1.5 a 1.1.7 eran todos cambios maliciosos.

En la actualidad, la versión maliciosa fue eliminada por Ledger el 15 de diciembre, hora de Pekín

EL PRESIDENTE Y DIRECTOR EJECUTIVO DE LEDGER, PASCAL GAUTHIER, DIJO QUE LOS EX EMPLEADOS FUERON SUPLANTADOS COMO RESULTADO.

Fuente:

Flujo de fondos involucrados en el caso

A partir de ahora, la dirección de Ledger Exploiter (0x658729879fCa881D9526480B82aE00EFc54B5c2d) todavía tiene USD 330,000 en activos en reserva

De estos, 4.334 ETH fueron a parar a las billeteras calientes de Angel Drainer, un conocido equipo de robo de monedas virtuales

El ataque de secuestro de DNS de Balancer de septiembre de 2023 y el ataque de secuestro de DNS de Galxe de octubre de 2023 se asociaron con el equipo.

Angel Drainer, como proveedor de plataforma (CaaS) para servicios criminales, solo puede proporcionar código malicioso para robar moneda virtual para este ataque, y puede haber otros equipos que realmente operen y publiquen el código malicioso de NPM.

Medidas de emergencia sugeridas

Fiesta de la cartera

1. Es necesario garantizar la seguridad de la red del entorno de desarrollo y lanzamiento para evitar ataques a la cadena de suministro.

2. La versión debe estar bloqueada en el código y no usar @1 para cargar automáticamente la última versión. Por ejemplo, el símbolo "[.] jsdelivr[.] net/npm/@ledgerhq/connect-kit@1」

3. Actualice regularmente las cuentas clave y habilite MFA.

4. Realizar auditorías periódicas de seguridad del código y de los procesos de desarrollo.

Usuarios

1. Evite interactuar con cualquier DApp hasta que Ledger esté completamente arreglado

2. Una vez arreglado el Ledger, borra el navegador local (móvil y ordenador) y la caché de la aplicación DApp

3. Debido a la ofuscación del código malicioso, el código malicioso también puede obtener permisos de dispositivo al mismo tiempo, **Se recomienda encarecidamente reinstalar el sistema para resolver el problema afectado de Dapp de manera más completa **

Fiesta del Proyecto

1. Elimine los conectores de Ledger de manera oportuna para evitar afectar a más usuarios

BIT JUNGLA Aviso de evento

Medidas de emergencia para incidentes de seguridad de Ledger

Bit Jungle: Planea invertir 60 millones para desarrollar una billetera de hardware

Temas a tratar

1. ¿Por qué ocurrió el incidente de seguridad de la billetera Ledger?

2. ¿Qué genes debe tener una buena empresa de carteras?

3. El pensamiento detrás del plan de Bit Jungle de invertir 60 millones para construir un negocio de billeteras

Cómo escuchar

Viernes 22 de diciembre 8 p.m. Escanea el código 👇 QR del póster a continuación