Bit Jungle: уязвимости безопасности Ledger затронули многие децентрализованные приложения, поэтому рекомендуется переустановить систему, а не просто очищать кэш

Около 20:00 по пекинскому времени 14 декабря 2023 года несколько проектов, таких как SUSHI и RevokeCash, выпустили предупреждения безопасности, чтобы предупредить пользователей о том, чтобы они не взаимодействовали с какими-либо DAPP.

Bit Jungle была первой, кто вмешался в анализ и обнаружил, что коннекторы кошельков этих проектов были интегрированы с Ledger Connect Kit, который был подделан для содержания вредоносного кода для кражи виртуальной валюты. Около 21:00 компания Ledger выпустила версию 1.1.8 Connect Kit, которая удалила вредоносный код.

На данный момент взлом привел к общей потере около 400 000 долларов для нескольких пользователей.

Ниже будет проанализирован процесс реализации, область воздействия, процесс возникновения и группа по расследованию уязвимостей Ledger. ** BitJungle рекомендует пользователям переустановить систему вместо того, чтобы просто очищать кэш, чтобы более тщательно решить затронутую проблему с Dapp. **Для получения более подробной информации и просмотров, пожалуйста, также обратите внимание на прямую трансляцию в 20:00 22 декабря (пятница), а также ознакомьтесь с разделом ** «Предварительный просмотр мероприятия» внизу этой статьи для получения информации о мероприятии.

В чем проблема с Ledger

Wallet Connector — это протокол или инструмент, используемый для установления связи и взаимодействия между децентрализованными приложениями (DApps) и криптовалютными кошельками. Его основная цель — упростить процесс управления цифровыми активами между пользователями и DApps, позволяя пользователям взаимодействовать с различными децентрализованными сервисами и приложениями с помощью своих криптовалютных кошельков. В процессе использования пользователя отражается то, что при взаимодействии DApp будет отображаться страница, подключенная к кошельку, как показано на рисунке ниже

На странице будет загружен код для каждого коннектора, например WalletConnect, который является наиболее широко используемым.

Код, который был злонамеренно изменен на этот раз, — это коннектор Ledger (Ledger Connect Kit), комплект для разработки программного обеспечения (SDK), предназначенный для того, чтобы помочь разработчикам интегрировать аппаратные кошельки Ledger (такие как Ledger Nano S, Ledger Nano X и т. д.) в свои приложения. Он предоставляет ряд API и инструментов, которые позволяют разработчикам взаимодействовать с аппаратными кошельками Ledger для более безопасного и надёжного управления цифровыми активами.

Многие сайты DApp используют эту библиотеку для подключения к аппаратным кошелькам Ledger, а некоторые сайты (такие как SushiSwap и Revoke.cash) быстро перевели свои сайты в автономный режим и удалили затронутые библиотеки.

Как появляется код Ledger

После проверки, проведенной Bitjungle, было обнаружено, что вышеупомянутые затронутые веб-сайты были загружены коннекторами кошельков ledger и были атакованы цепочкой поставок, а код, представленный проектом, выглядит следующим образом:

[.] jsdelivr[.] net/npm/@ledgerhq/connect-kit@1

По состоянию на 21:10 по пекинскому времени я увидел последнее обновление на странице релиза npm Ledger два часа назад, и в результате проверки было обнаружено, что все версии с 1.1.5 по 1.1.7 были вредоносными.

На данный момент вредоносная версия была удалена компанией Ledger 15 декабря по пекинскому времени

ПРЕДСЕДАТЕЛЬ И ГЕНЕРАЛЬНЫЙ ДИРЕКТОР LEDGER ПАСКАЛЬ ГОТЬЕ СКАЗАЛ, ЧТО В РЕЗУЛЬТАТЕ БЫВШИЕ СОТРУДНИКИ СТАЛИ ЖЕРТВАМИ ФИШИНГА.

Источник:

Движение денежных средств, участвующих в деле

На данный момент на адресе Ledger Exploiter (0x658729879fCa881D9526480B82aE00EFc54B5c2d) по-прежнему находятся активы в размере $330 000 в резерве

Из них 4,334 ETH отправились на горячие кошельки Angel Drainer, известной команды по краже виртуальной валюты

Атака на перехват DNS Balancer в сентябре 2023 года и атака на перехват Galxe DNS в октябре 2023 года были связаны с командой.

Angel Drainer, как поставщик платформы (CaaS) для преступных сервисов, может предоставлять только вредоносный код для кражи виртуальной валюты для этой атаки, и могут быть другие команды, которые фактически работают и публикуют вредоносный код NPM.

Предлагаемые чрезвычайные меры

Вечеринка в кошельке

1. Необходимо обеспечить сетевую безопасность среды разработки и выпуска, чтобы избежать атак на цепочку поставок.

2. Версия должна быть заблокирована в коде, и не используйте @1 для автоматической загрузки последней версии. Например, "[.] jsdelivr[.] net/npm/@ledgerhq/connect-kit@1」

3. Регулярно обновляйте ключевые аккаунты и включайте MFA.

4. Проводите регулярные аудиты безопасности кода и процессов разработки.

Пользователи

1. Избегайте взаимодействия с децентрализованными приложениями до тех пор, пока Ledger не будет полностью исправлен

2. После того, как Ledger будет исправлен, очистите локальный браузер (мобильный и компьютерный) и кэш приложения DApp

3. Из-за обфускации вредоносного кода вредоносный код также может одновременно получать разрешения устройства, Настоятельно рекомендуется переустановить систему, чтобы более полно решить затронутую проблему Dapp

Вечеринка проекта

1. Своевременно удаляйте коннекторы Ledger, чтобы не влиять на большее количество пользователей

BIT ДЖУНГЛИ Уведомление о событии

Чрезвычайные меры в связи с инцидентами безопасности Ledger

Bit Jungle: Планируйте инвестировать 60 миллионов в разработку аппаратного кошелька

Темы для обсуждения

1. Почему случился инцидент с безопасностью кошелька Ledger?

2. Какими генами должна обладать хорошая компания-кошелек?

3. Идея, лежащая в основе плана Bit Jungle инвестировать 60 миллионов в создание бизнеса по производству кошельков

Как слушать

*Пятница, 22 декабря, 20:00 Отсканируйте QR-код 👇 плаката ниже