Ledger ogłosił wielkość szkód poniesionych przez użytkowników w wyniku niedawnego włamania

Straty wyniosły ok 600 000 dolarów

W wyniku włamania się do biblioteki Ledger Connect Kit 14 grudnia szkody poniesione przez użytkowników portfela wyniosły około 600 000 dolarów.

Z oświadczenia wynika, że ​​firma wypłaci ofiarom pełne odszkodowanie. Zwrotem pieniędzy będzie nadzorował dyrektor generalny Ledger Pascal Gauthier.

Firma opublikowała również raport z incydentu, w którym wyjaśniono niektóre szczegóły wstępnego dochodzenia.

We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe.

We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.

Ledger…

— Ledger (@Ledger) December 20, 2023

Rankiem 14 grudnia osoba atakująca uzyskała dostęp do swojego konta w serwisie poprzez atak phishingowy na byłego pracownika LedgerNPMJS.

Od 10:49 do 12:37 haker opublikował złośliwą wersję biblioteki Ledger Connect Kit. Jest to rozwiązanie typu open source, które pomaga programistom dapps łączyć aplikacje ze sprzętem Ledger. Platformy DeFi automatycznie pobrały zaktualizowane oprogramowanie.

Ledger ogłosił wielkość szkód poniesionych przez użytkowników w wyniku niedawnego włamania
Wzór ataku. Dane: Księga.
Aby przekierować zasoby do swoich portfeli, haker wykorzystał fałszywy projekt WalletConnect.

O 16:45 Ledger dowiedział się o trwającym ataku dzięki reakcji społeczności i bezpośredniej wiadomości za pośrednictwem zespołu X firmy Blockaid. Po około pół godzinie specjaliści ds. bezpieczeństwa otrzymali informację i w ciągu 40 minut wymienili fałszywe oprogramowanie na oryginalne. Jednak ze względu na charakter sieci dostarczania treści i mechanizmy buforowania w Internecie złośliwy plik pozostawał dostępny przez około 5 godzin.

Jednak według Ledgera okres, w którym napastnik opróżniał portfele ofiar, wynosił niecałe dwie godziny. Dzięki „szybkiej koordynacji” zespół WalletConnect zamknął fałszywego odpowiednika, a Tether zamroził USDT hakera.

Ledger podkreślił, że podczas exploita osoba atakująca nie uzyskała dostępu do żadnej infrastruktury, takiej jak repozytorium kodu, ani nawet do samych dappów. Szkodnik infiltrował interfejsy aplikacji, zapraszając użytkowników do podpisywania różnego rodzaju transakcji.

Tether just froze the Ledger exploiter address

— Paolo Ardoino 🍐 (@paoloardoino) December 14, 2023

Według firmy dotknięci klienci skorzystali z metody „ślepego podpisu”, nie sprawdzając, na jakim urządzeniu faktycznie to robili. Aby zapobiec takim zdarzeniom, twórca portfeli sprzętowych planuje zamknąć tę opcję w 2024 roku. Ledger zachęcał użytkowników i zespoły dapps do korzystania z rozwiązania Clear Sign.

Odnosząc się do faktu, że były pracownik miał dostęp do konta NPMJS, co budziło naturalne pytania w środowisku, firma przyznała, że ​​było to zaniechanie. Zespół pracuje nad wprowadzeniem dodatkowych mechanizmów kontrolnych na etapie publikacji oprogramowania.