Το Ledger προειδοποιεί τους χρήστες να μην χρησιμοποιούν web3 dApps αφού μια επίθεση εφοδιαστικής αλυσίδας στη βιβλιοθήκη «Ledger dApp Connect Kit» βρέθηκε να σπρώχνει ένα αποστραγγιστικό πορτοφολιού JavaScript που έκλεψε 600.000 $ σε κρυπτογράφηση και NFT.
Το Ledger είναι ένα πορτοφόλι υλικού που επιτρέπει στους χρήστες να αγοράζουν, να διαχειρίζονται και να αποθηκεύουν με ασφάλεια τα ψηφιακά τους στοιχεία εκτός σύνδεσης, υποστηρίζοντας πολλαπλά κρυπτονομίσματα, συμπεριλαμβανομένων των Bitcoin και Ethereum.
Η εταιρεία προσφέρει μια βιβλιοθήκη που ονομάζεται “
Ledger dApps Connect Kit
” που επιτρέπει στις εφαρμογές web3 να συνδέονται με πορτοφόλια υλικού Ledger.
Σήμερα, το Ledger προειδοποιεί τους χρήστες ότι το Ledger Connect Kit του παραβιάστηκε για να συμπεριλάβει κακόβουλο κώδικα και ότι όλοι οι χρήστες θα πρέπει να αποφεύγουν να χρησιμοποιούν dApps προς το παρόν. Αυτός ο κακόβουλος κώδικας που προστέθηκε στη βιβλιοθήκη είναι ένα πρόγραμμα αποστράγγισης πορτοφολιού που κλέβει αυτόματα κρυπτογράφηση και NFT από πορτοφόλια που συνδέονται με την εφαρμογή.
Η κακόβουλη έκδοση της βιβλιοθήκης έχει αφαιρεθεί και μια νέα καθαρή έκδοση του κιτ, έκδοση 1.1.8, ανέβηκε στα κανάλια διανομής του Ledger στις 2:35 μ.μ. CET. Ωστόσο, όλα τα δυνητικά επηρεαζόμενα έργα πρέπει να αντικαταστήσουν την κακόβουλη έκδοσή τους με ένα καθαρό αντίγραφο προτού είναι ασφαλή για χρήση ξανά.
Σύμφωνα με
μία σημείωση
στο επηρεασμένο αποθετήριο GitHub, ο κώδικας αποστράγγισης πορτοφολιού επηρεάζει τις εκδόσεις 1.1.5 έως 1.1.7 του Connect Kit, που εισάγεται στη συσκευασία μέσω ενός παραβιασμένου λογαριασμού NPM.
Επίσης, ο Ledger έχει συμβουλεύσει τους χρήστες να «Εκκαθαρίσουν την υπογραφή» όλες τις συναλλαγές που ακολουθούν
αυτές τις οδηγίες
.
Οι χρήστες θα πρέπει να αποφεύγουν κάθε αλληλεπίδραση με οποιεσδήποτε εφαρμογές DA μέχρι να επιβεβαιώσουν ότι αυτές έχουν μετακινηθεί σε μια ασφαλή έκδοση του Connect Kit.
Η εταιρεία προειδοποίησε επίσης για
συνεχιζόμενες επιθέσεις phishing
προσπαθώντας να εκμεταλλευτεί την κατάσταση, συμβουλεύοντας τους χρήστες να παραμείνουν σε
επα
γρύπνηση για μηνύματα που τους ζητούν να μοιραστούν τη φράση ανάκτησης μυστικών 24 λέξεων.
Ο Ledger είπε στο Bleeping ότι η βιβλιοθήκη του παραβιάστηκε μετά την παραβίαση του λογαριασμού του NPMJS
σήμερα
το πρωί κατά τη διάρκεια μιας επίθεσης phishing σε έναν πρώην υπάλληλο.
“Ο εισβολέας δημοσίευσε μια κακόβουλη έκδοση του Ledger Connect Kit (που επηρεάζει τις εκδόσεις 1.1.5, 1.1.6 και 1.1.7).” είπε ο Ledger στο BleepingComputer.
“Ο κακόβουλος κώδικας χρησιμοποίησε ένα αδίστακτο έργο WalletConnect για να αναδρομολογήσει χρήματα σε ένα πορτοφόλι χάκερ.”
Το Ledger δηλώνει ότι μια επιδιόρθωση αναπτύχθηκε 40 λεπτά αφότου ο Ledger αντιλήφθηκε την παραβίαση και ότι η παραβιασμένη βιβλιοθήκη ήταν διαθέσιμη μόνο για 5 ώρες.
Η Ledger έχει διαβεβαιώσει τους χρήστες ότι το βασικό υλικό (
συσκευή
Ledger) και η κύρια εφαρμογή λογισμικού (Ledger Live) που χρησιμοποιούνται για τη διαχείριση περιουσιακών στοιχείων κρυπτονομισμάτων δεν έχουν παραβιαστεί ή επηρεαστεί άμεσα από αυτήν την επίθεση στην αλυσίδα εφοδιασμού.
Το στραγγιστικό πορτοφολιού
Εταιρεία ασφάλειας Blockchain
αναφέρει το SlowMist
ότι ο συμβιβασμός ξεκίνησε στο Ledger Connect Kit 1.1.5 με τον εισβολέα να αφήνει ένα
μήνυμα
στον κώδικα, πιθανώς ως δοκιμή.
Στις εκδόσεις 1.1.6 και 1.1.7 του πακέτου, εμφυτεύτηκε επίσης πολύ ασαφής κακόβουλος κώδικας JavaScript.
Η BleepingComputer ανέλυσε το σενάριο για να προσδιορίσει τη λειτουργικότητά του και διαπίστωσε ότι επιχειρεί να κλέψει κρυπτονομίσματα και NFT από το Coinbase, το Trust Wallet και το MetaMask.
Μέρος του απεμπλουτισμένου σεναρίου
Πηγή: BleepingComputer
Προς το παρόν, η έρευνα για το περιστατικό συνεχίζεται και η επίπτωση ή οι πραγματικές απώλειες περιουσιακών στοιχείων λόγω της ανάπτυξης του αποστραγγιστικού δεν έχουν ακόμη προσδιοριστεί.
Ωστόσο,
αναφέρουν αναφορές
ότι περίπου 680.000 $ κλάπηκαν στην επίθεση της αλυσίδας εφοδιασμού.
Ο Ledger είπε στο BleepingComputer ότι είχαν αναφέρει τις διευθύνσεις πορτοφολιού του χάκερ και ότι η
Tether
έχει παγώσει το κλεμμένο USDT.
Ο Ledger έχει υποσχεθεί να δημοσιεύσει περισσότερες λεπτομέρειες για το περιστατικό μέσω μιας ολοκληρωμένης αναφοράς αργότερα σήμερα, αλλά προς το παρόν, επικεντρώνονται στην ασφάλεια της βιβλιοθήκης και στη διερεύνηση της παραβίασης.
VIA:
bleepingcomputer.com
