Bit Jungle: As vulnerabilidades de segurança do Ledger afetaram muitos Dapps, e recomenda-se reinstalar o sistema em vez de simplesmente limpar o cache

Por volta das 20h00, horário de Pequim, em 14 de dezembro de 2023, vários projetos, como SUSHI e RevokeCash, emitiram alertas de segurança para avisar os usuários a não interagirem com nenhum DAPP.

A Bit Jungle foi a primeira a intervir na análise e descobriu que os conectores da carteira desses projetos estavam integrados com o Ledger Connect Kit, que havia sido adulterado para conter código malicioso para roubar moeda virtual. Por volta das 21h, o Ledger lançou a versão 1.1.8 do Connect Kit, que removeu o código malicioso.

Até agora, o hack resultou em uma perda total de cerca de US $ 400.000 para vários usuários.

A seguir, analisaremos o processo de implementação, a área de impacto, o processo de ocorrência e a equipe de crime da vulnerabilidade do Ledger. **BitJungle recomenda que os usuários reinstalem o sistema em vez de simplesmente limpar o cache para resolver o problema Dapp afetado mais completamente. **Para conteúdo e visualizações mais detalhadas, preste atenção também à transmissão ao vivo às 20h do dia 22 de dezembro (sexta-feira), e consulte a seção **“Visualização do evento” na parte inferior deste artigo para obter informações sobre o evento.

Qual é o problema com o Ledger

Um Conector de Carteira é um protocolo ou ferramenta usada para estabelecer comunicação e interação entre aplicativos descentralizados (DApps) e carteiras de criptomoedas. Seu principal objetivo é simplificar o processo de gerenciamento de ativos digitais entre usuários e DApps, permitindo que os usuários interajam com vários serviços e aplicativos descentralizados usando suas carteiras de criptomoedas. É refletido no processo de uso do usuário que, quando o DApp interage, a página que se conecta à carteira será exibida, como mostrado na figura abaixo

A página carregará o código para cada conector, como o WalletConnect, que é o mais utilizado.

O código que foi modificado maliciosamente desta vez é o conector da Ledger (Ledger Connect Kit), um kit de desenvolvimento de software (SDK) projetado para ajudar os desenvolvedores a integrar carteiras de hardware da Ledger (como Ledger Nano S, Ledger Nano X, etc.) em seus aplicativos. Ele fornece uma variedade de APIs e ferramentas que permitem que os desenvolvedores interajam com carteiras de hardware da Ledger para um gerenciamento de ativos digitais mais seguro e confiável.

Muitos sites DApp usam essa biblioteca para se conectar a carteiras de hardware Ledger, e alguns sites (como SushiSwap e Revoke.cash) rapidamente colocaram seus sites offline e removeram as bibliotecas afetadas.

Como aparece o código do livro-razão

Depois de verificar pela Bitjungle, descobriu-se que os sites afetados acima mencionados estavam carregados com conectores de carteira razão e foram atacados pela cadeia de suprimentos, e o código introduzido pelo projeto é o seguinte:

[.] JSDELIVR[.] net/npm/@ledgerhq/connect-kit@1

A partir das 21:10, horário de Pequim, vi a última atualização na página de lançamento do npm da Ledger há duas horas e, de acordo com a verificação, descobriu-se que as versões 1.1.5 a 1.1.7 eram todas alterações maliciosas.

No momento, a versão maliciosa foi excluída pela Ledger em 15 de dezembro, horário de Pequim

O PRESIDENTE E CEO DA LEDGER, PASCAL GAUTHIER, DISSE QUE EX-FUNCIONÁRIOS FORAM VÍTIMAS DE PHISHING COMO RESULTADO.

Fonte:

Fluxo de fundos envolvidos no caso

A partir de agora, o endereço Ledger Exploiter (0x658729879fCa881D9526480B82aE00EFc54B5c2d) ainda tem US $ 330.000 em ativos em reserva

Destes, 4.334 ETH foram para as carteiras quentes de Angel Drainer, uma conhecida equipe de roubo de moeda virtual

O ataque de sequestro de DNS do Balancer de setembro de 2023 e o ataque de sequestro de DNS da Galxe de outubro de 2023 foram associados à equipe.

Angel Drainer, como um provedor de plataforma (CaaS) para serviços criminosos, só pode fornecer código malicioso para roubar moeda virtual para este ataque, e pode haver outras equipes que realmente operam e publicam o código malicioso NPM.

Medidas de Emergência Sugeridas

Festa da Carteira

1. É necessário garantir a segurança da rede do ambiente de desenvolvimento e libertação, a fim de evitar ataques à cadeia de abastecimento.

2. A versão deve estar bloqueada no código e não use @1 para carregar automaticamente a versão mais recente. Por exemplo, o "[.] JSDELIVR[.] net/npm/@ledgerhq/connect-kit@1」

3. Atualize regularmente as contas-chave e habilite a MFA.

4. Realizar auditorias de segurança regulares de código e processos de desenvolvimento.

Utilizadores

1. Evite interagir com qualquer DApps até que o Ledger esteja completamente fixo

2. Depois que o Ledger for corrigido, limpe o navegador local (celular e computador) e o cache do aplicativo DApp

3. Devido à ofuscação do código malicioso, o código malicioso também pode obter permissões do dispositivo ao mesmo tempo, É altamente recomendável reinstalar o sistema para resolver o problema afetado do Dapp mais completamente

Festa do Projeto

1. Remova os conectores do Ledger em tempo hábil para evitar afetar mais usuários

BIT JUNGLE Aviso do evento

Medidas de Emergência para Incidentes de Segurança do Livro-Razão

Bit Jungle: Plano para investir 60 milhões para desenvolver uma carteira de hardware

Tópicos a debater

1. Por que aconteceu o incidente de segurança da carteira Ledger?

2. Que genes deve ter uma boa empresa de carteira?

3. O pensamento por trás do plano Bit Jungle de investir 60 milhões para construir um negócio de carteira

Como ouvir

Sexta-feira, 22 de dezembro 20h Digitalize o código 👇 QR do cartaz abaixo