В результате компрометации 14 декабря библиотеки Ledger Connect Kit ущерб пользователей кошелька составил около $600 000.
We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe. We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.Ledger…— Ledger (@Ledger) December 20, 2023
Согласно заявлению, компания полностью компенсирует ущерб пострадавшим. Контролировать возмещение будет CEO Ledger Паскаль Готье.
Фирма также опубликовала отчет об инциденте, который уточнил некоторые детали предварительного расследования.
Утром 14 декабря злоумышленник через фишинговую атаку на экс-сотрудника Ledger получил доступ к его аккаунту в сервисе NPMJS.
С 12:49 по 14:37 МСК хакер опубликовал вредоносную версию библиотеки Ledger Connect Kit. Это решение с открытым исходным кодом, с помощью которого разработчики dapps подключают приложения к оборудованию Ledger. DeFi-платформы автоматически подхватили обновленное ПО.
Схема атаки. Данные: Ledger.
Для перенаправления активов в свои кошельки взломщик использовал фейковый проект WalletConnect.
В 16:45 в Ledger узнали о ведущейся атаке благодаря реакции сообщества и прямому сообщению через X команды Blockaid. Примерно через полчаса информацию получили специалисты по безопасности и в течение 40 минут заменили мошенническое ПО на подлинное. Но из-за особенностей сети доставки контента и механизмов кэширования в интернете вредоносный файл оставался доступным около 5 часов.
Однако, по оценке Ledger, период, в который злоумышленник опустошал кошельки жертв, составил менее двух часов. Благодаря «быстрой координации» команда WalletConnect отключила мошеннический аналог, а Tether заморозила USDT хакера.
Tether just froze the Ledger exploiter address— Paolo Ardoino 🍐 (@paoloardoino) December 14, 2023
В Ledger подчеркнули, что в ходе эксплойта злоумышленник не получил доступ к какой-либо инфраструктуре вроде репозитария кода и даже к самим dapps. Вредонос внедрялся в интерфейсы приложений, предлагая пользователям подписать различного рода транзакции.
По данным компании, пострадавшие клиенты прибегли к методу «слепой подписи», не проверяя, на каком устройстве они это реально делают. Для предотвращения подобных инцидентов разработчик аппаратных кошельков планирует в 2024 году закрыть эту опцию. Ledger призвала пользователей и команды dapps использовать решение Clear Sign.
Касательно вызвавшего в сообществе закономерные вопросы наличия доступа к NPMJS-аккаунту у экс-сотрудника в фирме признали, что это было упущением. Команда работает над внедрением механизмов дополнительного контроля на этапе публикации ПО.
Напомним, в ноябре пользователи, скачавшие размещенное в Microsoft Store поддельное приложение Ledger Live, потеряли $768 000 в цифровых активах.
