Унаслідок компрометації 14 грудня бібліотеки Ledger Connect Kit збиток користувачів гаманця склав близько $600 000.
We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe.
We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.
Ledger…
— Ledger (@Ledger) December 20, 2023
Згідно із заявою, компанія повністю компенсує збитки постраждалим. Контролювати відшкодування буде CEO Ledger Паскаль Готьє.
Фірма також опублікувала звіт про інцидент, який уточнив деякі деталі попереднього розслідування.
Уранці 14 грудня зловмисник через фішингову атаку на ексспівробітника Ledger отримав доступ до його акаунта в сервісі NPMJS.
З 12:49 до 14:37 МСК хакер опублікував шкідливу версію бібліотеки Ledger Connect Kit. Це рішення з відкритим вихідним кодом, за допомогою якого розробники dapps підключають додатки до обладнання Ledger. DeFi-платформи автоматично підхопили оновлене ПЗ.
Для перенаправлення активів у свої гаманці зловмисник використовував фейковий проєкт WalletConnect.
О 16:45 у Ledger дізналися про атаку, що ведеться, завдяки реакції спільноти та прямому повідомленню через X команди Blockaid. Приблизно через пів години інформацію отримали фахівці з безпеки та протягом 40 хвилин замінили шахрайське ПЗ на справжнє. Але через особливості мережі доставлення контенту та механізмів кешування в інтернеті шкідливий файл залишався доступним близько 5 годин.
Однак, за оцінкою Ledger, період, за який зловмисник спустошував гаманці жертв, становив менше ніж дві години. Завдяки «швидкій координації» команда WalletConnect відключила шахрайський аналог, а Tether заморозила USDT хакера.
Tether just froze the Ledger exploiter address
— Paolo Ardoino 🍐 (@paoloardoino) December 14, 2023
У Ledger підкреслили, що під час атаки зловмисник не отримав доступу до будь-якої інфраструктури на кшталт репозитарію коду і навіть до самих dapps. Шкідник впроваджувався в інтерфейси додатків, пропонуючи користувачам підписати різного роду транзакції.
За даними компанії, постраждалі клієнти вдалися до методу «сліпого підпису», не перевіряючи, на якому пристрої вони це реально роблять. Для запобігання подібних інцидентів розробник апаратних гаманців планує у 2024 році закрити цю опцію. Ledger закликала користувачів і команди dapps використовувати рішення Clear Sign.
Щодо наявності доступу до NPMJS-акаунту в екс-співробітника, який викликав у спільноті закономірні запитання, у фірмі визнали, що це було упущенням. Команда працює над впровадженням механізмів додаткового контролю на етапі публікації ПЗ.
Нагадаємо, у листопаді користувачі, які завантажили розміщений у Microsoft Store підроблений застосунок Ledger Live, втратили $768 000 у цифрових активах.
