Розробник апаратних гаманців Ledger повідомив про компрометацію бібліотеки ПЗ, яку використовують децентралізовані застосунки. Хакер зміг впровадити шкідливий код у їхні інтерфейси.
FINAL TIMELINE AND UPDATE TO CUSTOMERS:
4:49pm CET:
Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.
The investigation continues, here is the timeline of what we know about…
— Ledger (@Ledger) December 14, 2023
Згідно із заявою, 14 грудня приблизно о 3:35 за київським часом зловмисник замінив справжню версію Ledger Connect Kit на фейкову. Фізичні пристрої користувачів і додаток Ledger Live атака не зачепила.
Команда видалила шкідливий файл, нова оригінальна версія 1.1.8 «поширюється автоматично». Однак розробники не рекомендували використовувати ПЗ протягом доби.
Попереднє розслідування засвідчило, що хакер отримав доступ до акаунта в сервісі NPMJS через фішингову атаку на ексспівробітника Ledger.
Розміщений шкідливий файл проіснував близько 5 годин, але проміжок, у якому відбувалася крадіжка коштів, команда оцінила у 2 години. Для виведення активів зловмисник задіяв WalletConnect, який відключив гаманець скамера.
У Ledger не озвучили суму збитків, але заявили, що зв’язалися з постраждалими клієнтами для обговорення компенсації.
Для пошуку зловмисника компанія має намір звернутися до правоохоронних органів.
У Ledger нагадали користувачам, що під час здійснення транзакції необхідно підписувати їх за допомогою Clear Sign. У разі розбіжності інформації на дисплеї гаманця і на екрані комп’ютера або смартфона варто негайно припинити операцію, підкреслили розробники.
#PeckShieldAlert Our community contributor has reported that the front ends of #Zapper, #Sushi have been compromised.https://t.co/WPkLZfNKpO
— PeckShieldAlert (@PeckShieldAlert) December 14, 2023
За повідомленням PeckShield, інцидент призвів до компрометації фронтендів Zapper і SushiSwap.
🚨🚨🚨 RED ALERT 🚨🚨🚨:
Do not interact with ANY dApps until further notice. It appears that a commonly used web3 connector has been compromised which allows for injection of malicious code affecting numerous dApps.
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
«Не взаємодійте з жодними dapps до подальшого повідомлення. Схоже, широко використовуваний Web3-конектор був скомпрометований, що дає змогу впроваджувати шкідливий код, який зачіпає численні застосунки», — попередив після виявлення атаки CTO Sushi Меттью Ліллі.
Команда платформи Balancer запропонувала користувачам тимчасово не використовувати її інтерфейс, протокол для управління криптоактивами Revoke.cash відключив свій сайт.
Компанія BlockAid, що спеціалізується на кібербезпеці в Web3-індустрії, повідомила Blockworks, що виявила втрату проєктами щонайменше $150 000 через впровадження шкідливого коду. Фахівці фірми згадали в списку потенційно постраждалих від атаки сайтів Sushi, Zapper, MetalSwap і EchoDEX.
Багато коментаторів під повідомленням Ledger із попередніми результатами розслідування поставили запитання, яким чином у колишнього співробітника залишався доступ до критично важливого для безпеки акаунту.
Company that secures billions of dollars yet doesn’t stop former employees from having access, which is one of the most basic security procedures… LMAO
— CryptoLonghorn 🔥💃 (@CryptoLonghorn) December 14, 2023
У спільноті згадали колишні інциденти на кшталт витоку даних мільйона користувачів гаманця 2020 року, що призвів до масованих фішингових атак, або виявлення критичних вразливостей.
У травні команда Ledger презентувала спірний інструмент, що дає змогу створити резервну копію сід-фрази для відновлення доступу до пристрою Nano X. Рішення викликало критику з боку багатьох учасників індустрії, а продажі основного конкурента — Trezor — підскочили на 900%.
Нагадаємо, у листопаді користувачі, які завантажили підроблений застосунок Ledger Live, розміщений у Microsoft Store, втратили $768 000 у цифрових активах.