Разработчик аппаратных кошельков Ledger сообщил о компрометации библиотеки ПО, которую используют децентрализованные приложения. Хакер смог внедрять вредоносный код в их интерфейсы.
FINAL TIMELINE AND UPDATE TO CUSTOMERS:4:49pm CET:Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.The investigation continues, here is the timeline of what we know about…— Ledger (@Ledger) December 14, 2023
Согласно заявлению, 14 декабря примерно в 4:35 (МСК, 3:35 Киев) злоумышленник заменил подлинную версию Ledger Connect Kit на фейковую. Физические устройства пользователей и приложение Ledger Live атака не затронула.
Команда удалила вредоносный файл, новая оригинальная версия 1.1.8 «распространяется автоматически». Однако разработчики не рекомендовали использовать ПО в течение суток.
Предварительное расследование показало, что хакер получил доступ к аккаунту в сервисе NPMJS через фишинговую атаку на экс-сотрудника Ledger.
Размещенный вредоносный файл просуществовал около 5 часов, но промежуток, в котором происходила кража средств, команда оценила в 2 часа. Для вывода активов злоумышленник задействовал WalletConnect, который отключил кошелек скамера.
В Ledger не озвучили сумму ущерба, но заявили, что связались с пострадавшими клиентами для обсуждения компенсации.
Для поиска злоумышленника компания намерена обратиться в правоохранительные органы.
В Ledger напомнили пользователям, что при совершении транзакции необходимо подписывать их с помощью Clear Sign. В случае расхождения информации на дисплее кошелька и на экране компьютера или смартфона стоит немедленно прекратить операцию, подчеркнули разработчики.
#PeckShieldAlert Our community contributor has reported that the front ends of #Zapper, #Sushi have been compromised.https://t.co/WPkLZfNKpO— PeckShieldAlert (@PeckShieldAlert) December 14, 2023
По сообщению PeckShield, инцидент привел к компрометации фронтэндов Zapper и SushiSwap.
🚨🚨🚨 RED ALERT 🚨🚨🚨: Do not interact with ANY dApps until further notice. It appears that a commonly used web3 connector has been compromised which allows for injection of malicious code affecting numerous dApps.— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
«Не взаимодействуйте ни с какими dapps до дальнейшего уведомления. Похоже, широко используемый Web3-коннектор был скомпрометирован, что позволяет внедрять вредоносный код, затрагивающий многочисленные приложения», — предупредил после обнаружения атаки CTO Sushi Мэттью Лилли.
Команда платформы Balancer предложила пользователям временно не использовать ее интерфейс, протокол для управления криптоактивами Revoke.cash отключил свой сайт.
Специализирующаяся на кибербезопасности в Web3-индустрии компания BlockAid сообщила Blockworks, что обнаружила потерю проектами по меньшей мере $150 000 из-за внедрения вредоносного кода. Специалисты фирмы упомянули в списке потенциально пострадавших от атаки сайтов Sushi, Zapper, MetalSwap и EchoDEX.
Многие комментаторы под сообщением Ledger с предварительными результатами расследования задались вопросом, каким образом у бывшего сотрудника оставался доступ к критически важному для безопасности аккаунту.
Company that secures billions of dollars yet doesn’t stop former employees from having access, which is one of the most basic security procedures… LMAO— CryptoLonghorn 🔥💃 (@CryptoLonghorn) December 14, 2023
В сообществе вспомнили прежние инциденты вроде утечки данных миллиона пользователей кошелька в 2020 году, которая привела к массированным фишинговым атакам, или обнаружения критических уязвимостей.
15 декабря 2023 | 11:08Апдейт:
CEO компании Паскаль Готье в открытом письме сообществу подтвердил, что эксплойт стал результатом фишинговой атаки на бывшего сотрудника.
My message on the Ledger Connect Kit exploit.https://t.co/zLMUvfNM7t— Pascal Gauthier @Ledger (@_pgauthier) December 14, 2023
По его словам, обновление библиотеки произошло спустя 40 минут после обнаружения атаки, а подобные инциденты — «досадный единичный случай, который напоминает о необходимости поднимать планку безопасности вокруг dapps, несмотря на внедренные механизмы в компаниях».
В мае команда Ledger представила спорный инструмент, позволяющий создать резервную копию сид-фразы для возобновления доступа к устройству Nano X. Решение вызвало критику со стороны многих участников индустрии, а продажи основного конкурента — Trezor — подскочили на 900%.
Напомним, в ноябре пользователи, скачавшие поддельное приложение Ledger Live, размещенное в Microsoft Store, потеряли $768 000 в цифровых активах.
