Bit Jungle: Уразливості безпеки Ledger вплинули на багато Dapps, і рекомендується перевстановити систему, а не просто очищати кеш

Близько 20:00 за пекінським часом 14 грудня 2023 року кілька проєктів, таких як SUSHI та RevokeCash, випустили попередження безпеки, щоб попередити користувачів не взаємодіяти з жодною DAPP.

Bit Jungle був першим, хто втрутився в аналіз і виявив, що конектори гаманців цих проектів були інтегровані з Ledger Connect Kit, який був підроблений, щоб містити шкідливий код для крадіжки віртуальної валюти. Близько 21 години вечора Ledger випустив версію 1.1.8 Connect Kit, яка видалила шкідливий код.

Наразі злом призвів до загальної втрати близько 400 000 доларів США для кількох користувачів.

Нижче буде проаналізовано процес впровадження, область впливу, процес виникнення та команду боротьби зі злочинністю вразливості Ledger. **BitJungle рекомендує користувачам перевстановити систему замість того, щоб просто очищати кеш, щоб вирішити проблему з децентралізованою програмою більш ретельно. **Для отримання більш детального контенту та переглядів, будь ласка, також зверніть увагу на пряму трансляцію о 20:00 22 грудня (п’ятниця), а також перегляньте розділ **“Попередній перегляд події” внизу цієї статті для отримання інформації про подію.

У чому проблема з Ledger

Wallet Connector — це протокол або інструмент, який використовується для встановлення зв’язку та взаємодії між децентралізованими програмами (DApps) та криптовалютними гаманцями. Його основна мета – спростити процес управління цифровими активами між користувачами та DApps, дозволяючи користувачам взаємодіяти з різними децентралізованими сервісами та програмами, використовуючи свої криптовалютні гаманці. У процесі використання користувача відбивається, що при взаємодії DApp буде відображатися сторінка, що підключається до гаманця, як показано на малюнку нижче

Сторінка завантажить код для кожного конектора, наприклад WalletConnect, який є найбільш широко використовуваним.

Код, який цього разу був зловмисно змінений, — це з’єднувач Ledger (Ledger Connect Kit), комплект для розробки програмного забезпечення (SDK), призначений для того, щоб допомогти розробникам інтегрувати апаратні гаманці Ledger (такі як Ledger Nano S, Ledger Nano X тощо) у свої програми. Він надає низку API та інструментів, які дозволяють розробникам взаємодіяти з апаратними гаманцями Ledger для більш безпечного та надійного управління цифровими активами.

Багато сайтів DApp використовують цю бібліотеку для підключення до апаратних гаманців Ledger, а деякі сайти (наприклад, SushiSwap і Revoke.cash) швидко перевели свої сайти в автономний режим і видалили уражені бібліотеки.

Як з’являється код бухгалтерської книги

Після перевірки Bitjungle було виявлено, що вищезгадані уражені веб-сайти були завантажені конекторами гаманців ledger і були атаковані ланцюжком поставок, а код, введений проектом, виглядає наступним чином:

[.] jsdelivr[.] net/npm/@ledgerhq/connect-kit@1

Станом на 21:10 за пекінським часом я побачив останнє оновлення на сторінці випуску npm Ledger дві години тому, і згідно з перевіркою було виявлено, що версії від 1.1.5 до 1.1.7 були шкідливими змінами.

Наразі шкідлива версія була видалена Ledger 15 грудня за пекінським часом

ГОЛОВА ТА ГЕНЕРАЛЬНИЙ ДИРЕКТОР LEDGER ПАСКАЛЬ ГОТЬЄ ЗАЯВИВ, ЩО В РЕЗУЛЬТАТІ КОЛИШНІ СПІВРОБІТНИКИ ЗАЗНАЛИ ФІШИНГУ.

Джерело:

Рух коштів, задіяних у справі

На даний момент адреса Ledger Exploiter (0x658729879fCa881D9526480B82aE00EFc54B5c2d) все ще має в резерві активи в розмірі 330 000 доларів США

З них 4,334 ETH надійшли на гарячі гаманці Angel Drainer, відомої команди з крадіжки віртуальної валюти

Атака викрадення DNS Balancer у вересні 2023 року та атака викрадення DNS Galxe у жовтні 2023 року були пов’язані з командою.

Angel Drainer, як постачальник платформи (CaaS) для кримінальних послуг, може надавати лише шкідливий код для крадіжки віртуальної валюти для цієї атаки, і можуть бути інші команди, які фактично працюють і публікують шкідливий код NPM.

Запропоновані надзвичайні заходи

Вечірка-гаманець

1. Необхідно забезпечити мережеву безпеку середовища розробки та випуску, щоб уникнути атак на ланцюжок поставок.

2. Версія повинна бути заблокована в коді і не використовуйте @1 для автоматичного завантаження останньої версії. Наприклад, кнопка «[.] jsdelivr[.] net/npm/@ledgerhq/connect-kit@1」

3. Регулярно оновлюйте ключові облікові записи та вмикайте багатофакторну автентифікацію.

4. Проводити регулярні аудити безпеки коду та процесів розробки.

Користувачі

1. Уникайте взаємодії з будь-якими DApps, доки Ledger не буде повністю виправлено

2. Після того, як Ledger буде виправлено, очистіть локальний браузер (мобільний і комп’ютерний) і кеш програми DApp

3. Через приховування шкідливого коду шкідливий код також може одночасно отримати дозволи на пристрій, Настійно рекомендується перевстановити систему, щоб вирішити проблему Dapp більш повно

Вечірка проекту

1. Своєчасно видаляйте роз’єми Ledger, щоб не впливати на більшу кількість користувачів

BIT ДЖУНГЛІ Повідомлення про подію

Надзвичайні заходи щодо інцидентів безпеки бухгалтерського обліку

Bit Jungle: Плануємо інвестувати 60 мільйонів у розробку апаратного гаманця

Теми для обговорення

1. Чому стався інцидент з безпекою гаманця Ledger?

2. Якими генами повинна володіти хороша компанія-гаманець?

3. Ідея, що лежить в основі плану Bit Jungle інвестувати 60 мільйонів у побудову бізнесу з гаманцями

Як слухати

*П’ятниця, 22 грудня, 20:00 Відскануйте QR-код 👇 плаката нижче