2023 年 12 月 14 日午後 20:00 頃、SUSHI や RevokeCash などの複数のプロジェクトがセキュリティ アラートを発行し、ユーザーに DAPP を操作しないように警告しました。Bit Jungleは最初に分析に介入し、これらのプロジェクトのウォレットコネクタが、仮想通貨を盗むための悪意のあるコードを含むために改ざんされたLedger Connect Kitと統合されていることを発見しました。 午後21時頃、LedgerはConnect Kitのバージョン1.1.8をリリースし、悪意のあるコードを削除しました。これまでのところ、このハッキングにより、複数のユーザーで合計約400,000万ドルの損失が発生しています。以下では、Ledger脆弱性の実装プロセス、影響領域、発生プロセス、および犯罪チームを分析します。 **BitJungleは、影響を受けるDappの問題をより徹底的に解決するために、単にキャッシュをクリアするのではなく、システムを再インストールすることを推奨しています。 **より詳しい内容や視聴回数については、12月22日(金)20時よりの生放送や、本記事末尾の**「イベントプレビュー」のイベント情報もご覧ください。### **Ledgerの問題点**ウォレットコネクタは、分散型アプリケーション(DApps)と暗号通貨ウォレット間の通信と相互作用を確立するために使用されるプロトコルまたはツールです。 その主な目的は、ユーザーとDAppsの間のデジタル資産管理プロセスを簡素化し、ユーザーが暗号通貨ウォレットを使用してさまざまな分散型サービスやアプリケーションと対話できるようにすることです。 DAppが相互作用すると、下図のようにウォレットに接続しているページが表示されるのは、ユーザーの利用プロセスに反映されていますこのページには、最も広く使用されている WalletConnect などの各コネクタのコードが読み込まれます。今回悪意を持って変更されたコードは、開発者がLedgerハードウェアウォレット(Ledger Nano S、Ledger Nano Xなど)をアプリケーションに統合できるように設計されたソフトウェア開発キット(SDK)であるLedgerのコネクタ(Ledger Connect Kit)です。 開発者がLedgerハードウェアウォレットを操作して、より安全で信頼性の高いデジタル資産管理を行えるようにするさまざまなAPIとツールを提供します。多くのDAppサイトは、このライブラリを使用してLedgerハードウェアウォレットに接続しており、一部のサイト(SushiSwapやRevoke.cashなど)はすぐにサイトをオフラインにし、影響を受けたライブラリを削除しました。### **台帳コードの表示方法**Bitjungleが確認したところ、上記の影響を受けたWebサイトには台帳ウォレットコネクタがロードされ、サプライチェーンによって攻撃されていることが判明し、プロジェクトによって導入されたコードは次のとおりです。[.] jsdelivr[.] net/npm/@ledgerhq/connect-kit@1北京時間21時10分現在、2時間前にLedgerのnpmリリースページで最新のアップデートを見たところ、確認したところ、バージョン1.1.5から1.1.7まではすべて悪意のある変更であることが判明しました。現在、悪意のあるバージョンは北京時間の12月15日にLedgerによって削除されていますLEDGERの会長兼CEOであるPASCAL GAUTHIER氏は、その結果、元従業員がフィッシングに遭ったと述べています。ソース:### **事件に関わった資金の流れ**現在、Ledger Exploiter(0x658729879fCa881D9526480B82aE00EFc54B5c2d)アドレスには330,000ドルの資産が準備されていますこれらのうち、4.334 ETHは、有名な仮想通貨盗難チームであるAngel Drainerのホットウォレットに送られました2023 年 9 月の Balancer DNS ハイジャック攻撃と 2023 年 10 月の Galxe DNS ハイジャック攻撃は、どちらもチームに関連付けられていました。Angel Drainerは、犯罪サービスのプラットフォームプロバイダー(CaaS)として、この攻撃のために仮想通貨を盗むための悪意のあるコードのみを提供する可能性があり、NPMの悪意のあるコードを実際に運用して公開している他のチームが存在する可能性があります。### **推奨される緊急措置**#### **ウォレットパーティー**1.サプライチェーン攻撃を回避するために、開発およびリリース環境のネットワークセキュリティを確保する必要があります。2. バージョンはコードでロックする必要があり、最新バージョンを自動的に読み込むために @1 を使用しないでください。 たとえば、"[.] jsdelivr[.] net/npm/@ledgerhq/connect-kit@1」3. 主要取引先を定期的に更新し、MFA を有効にします。4.コードと開発プロセスの定期的なセキュリティ監査を実施します。#### **ユーザー**1. Ledgerが完全に修正されるまでは、DAppsとのやり取りを避ける2. 台帳が修正されたら、ローカルブラウザ(モバイルとコンピューター)とDAppアプリケーションのキャッシュをクリアします3.悪意のあるコードが難読化されているため、悪意のあるコードも同時にデバイスの権限を取得する可能性があります。 **Dappの影響を受ける問題をより完全に解決するために、システムを再インストールすることを強くお勧めします**#### **プロジェクトパーティー**1. Ledgerのコネクターをタイムリーに削除し、より多くのユーザーに影響を与えないようにする### **BITジャングル** **イベント予告****Ledgerセキュリティインシデントの緊急対策****Bit Jungle:ハードウェアウォレットの開発に6,000万を投資する計画****議論するトピック**1. Ledgerウォレットのセキュリティインシデントはなぜ発生したのですか?2. 優れたウォレット会社にはどのような遺伝子が必要ですか?3. ウォレットビジネスを構築するために6,000万を投資するというBit Jungle計画の背後にある考え方**聴き方****12月22日(金)午後8時** 以下のポスターのQRコード👇をスキャンしてください
ビットジャングル:台帳のセキュリティの脆弱性は多くのDappsに影響を与えており、単にキャッシュをクリアするのではなく、システムを再インストールすることをお勧めします
2023 年 12 月 14 日午後 20:00 頃、SUSHI や RevokeCash などの複数のプロジェクトがセキュリティ アラートを発行し、ユーザーに DAPP を操作しないように警告しました。
Bit Jungleは最初に分析に介入し、これらのプロジェクトのウォレットコネクタが、仮想通貨を盗むための悪意のあるコードを含むために改ざんされたLedger Connect Kitと統合されていることを発見しました。 午後21時頃、LedgerはConnect Kitのバージョン1.1.8をリリースし、悪意のあるコードを削除しました。
これまでのところ、このハッキングにより、複数のユーザーで合計約400,000万ドルの損失が発生しています。
以下では、Ledger脆弱性の実装プロセス、影響領域、発生プロセス、および犯罪チームを分析します。 **BitJungleは、影響を受けるDappの問題をより徹底的に解決するために、単にキャッシュをクリアするのではなく、システムを再インストールすることを推奨しています。 より詳しい内容や視聴回数については、12月22日(金)20時よりの生放送や、本記事末尾の「イベントプレビュー」のイベント情報もご覧ください。
Ledgerの問題点
ウォレットコネクタは、分散型アプリケーション(DApps)と暗号通貨ウォレット間の通信と相互作用を確立するために使用されるプロトコルまたはツールです。 その主な目的は、ユーザーとDAppsの間のデジタル資産管理プロセスを簡素化し、ユーザーが暗号通貨ウォレットを使用してさまざまな分散型サービスやアプリケーションと対話できるようにすることです。 DAppが相互作用すると、下図のようにウォレットに接続しているページが表示されるのは、ユーザーの利用プロセスに反映されています
このページには、最も広く使用されている WalletConnect などの各コネクタのコードが読み込まれます。
今回悪意を持って変更されたコードは、開発者がLedgerハードウェアウォレット(Ledger Nano S、Ledger Nano Xなど)をアプリケーションに統合できるように設計されたソフトウェア開発キット(SDK)であるLedgerのコネクタ(Ledger Connect Kit)です。 開発者がLedgerハードウェアウォレットを操作して、より安全で信頼性の高いデジタル資産管理を行えるようにするさまざまなAPIとツールを提供します。
多くのDAppサイトは、このライブラリを使用してLedgerハードウェアウォレットに接続しており、一部のサイト(SushiSwapやRevoke.cashなど)はすぐにサイトをオフラインにし、影響を受けたライブラリを削除しました。
台帳コードの表示方法
Bitjungleが確認したところ、上記の影響を受けたWebサイトには台帳ウォレットコネクタがロードされ、サプライチェーンによって攻撃されていることが判明し、プロジェクトによって導入されたコードは次のとおりです。
[.] jsdelivr[.] net/npm/@ledgerhq/connect-kit@1
北京時間21時10分現在、2時間前にLedgerのnpmリリースページで最新のアップデートを見たところ、確認したところ、バージョン1.1.5から1.1.7まではすべて悪意のある変更であることが判明しました。
現在、悪意のあるバージョンは北京時間の12月15日にLedgerによって削除されています
LEDGERの会長兼CEOであるPASCAL GAUTHIER氏は、その結果、元従業員がフィッシングに遭ったと述べています。
ソース:
事件に関わった資金の流れ
現在、Ledger Exploiter(0x658729879fCa881D9526480B82aE00EFc54B5c2d)アドレスには330,000ドルの資産が準備されています
これらのうち、4.334 ETHは、有名な仮想通貨盗難チームであるAngel Drainerのホットウォレットに送られました
2023 年 9 月の Balancer DNS ハイジャック攻撃と 2023 年 10 月の Galxe DNS ハイジャック攻撃は、どちらもチームに関連付けられていました。
Angel Drainerは、犯罪サービスのプラットフォームプロバイダー(CaaS)として、この攻撃のために仮想通貨を盗むための悪意のあるコードのみを提供する可能性があり、NPMの悪意のあるコードを実際に運用して公開している他のチームが存在する可能性があります。
推奨される緊急措置
ウォレットパーティー
1.サプライチェーン攻撃を回避するために、開発およびリリース環境のネットワークセキュリティを確保する必要があります。
バージョンはコードでロックする必要があり、最新バージョンを自動的に読み込むために @1 を使用しないでください。 たとえば、"[.] jsdelivr[.] net/npm/@ledgerhq/connect-kit@1」
主要取引先を定期的に更新し、MFA を有効にします。
4.コードと開発プロセスの定期的なセキュリティ監査を実施します。
ユーザー
Ledgerが完全に修正されるまでは、DAppsとのやり取りを避ける
台帳が修正されたら、ローカルブラウザ(モバイルとコンピューター)とDAppアプリケーションのキャッシュをクリアします
3.悪意のあるコードが難読化されているため、悪意のあるコードも同時にデバイスの権限を取得する可能性があります。 Dappの影響を受ける問題をより完全に解決するために、システムを再インストールすることを強くお勧めします
プロジェクトパーティー
BITジャングル イベント予告
Ledgerセキュリティインシデントの緊急対策
Bit Jungle:ハードウェアウォレットの開発に6,000万を投資する計画
議論するトピック
Ledgerウォレットのセキュリティインシデントはなぜ発生したのですか?
優れたウォレット会社にはどのような遺伝子が必要ですか?
ウォレットビジネスを構築するために6,000万を投資するというBit Jungle計画の背後にある考え方
聴き方
12月22日(金)午後8時 以下のポスターのQRコード👇をスキャンしてください