На 14 декември 2023 година бе установено добавяне на зловреден вариант на кода Ledger Connect Kit, използван за свързване на екосистемата на Ledger с външни портфейли за управление на криптовалути. Според доклада на вътрешния одит на френския производител, зловредният код е бил активен в рамките на пет часа, като през два от тях има установено неправомерно изтегляне на потребителски средства. Хакът се е отразил на версии 1.1.5, 1.1.6 и 1.1.7, след което е бил заменен от безопасна версия 1.1.8 в рамките на 40 минути след докладване на пробива в сигурността.
TL/DR Съдържание
- Какво представлява Ledger Connect Kit?
- Как е бил хакнат кодът?
- Кой е бил засегнат от хака?
- Разрешен ли е проблемът?
- Въпроси и отговори за Ledger Connect Kit хака
Какво представлява Ledger Connect Kit?
Ledger Connect Kit e Javascript библиотека. Тя позволява иницииране на връзка между хардуерен портфейл Ledger Nano с външно децентрализирано приложение, т.е. уебсайт или браузър приложение за софтуерен портфейл за криптовалути. Библиотеката се използва от разработчиците на децентрализирани приложения като елемент от кодирането на своя софтуер за визуално и функционално вграждане на бутон за свързване с хардуерен портфейл за потвърждаване на действие – трансакция, подписване на контракт и т.н.
Как е бил хакнат кодът?
Отново според вътрешното разследване на Ledger, хакът е резултат от класическа фишинг атака. Жертвата е бивш служител на компанията. Хакнат е неговият NPMJS акаунт (Node Package Manager – платформа за управление на Javascript библиотеки, собственост на GitHub). Чрез него е вкаран зловреден код в библиотеката Ledger Connect Kit.
Малуерът е симулирал прозорци с покана за свързване на хардуерния портфейл със съответното приложение или одобряване на трансакция или смартконтракт с подменен адрес. Натискайки бутона, потребителят всъщност е подписвал трансакция на средства към хакерския адрес.
Кой е бил засегнат от хака?
Сред засегнатите DApps са: Zapper, SushiSwap, Hey.xyz, Phantom, Balancer и Revoke.cash. Отново по непотвърдени данни, откраднатите средства са на стойност между 400 и 600 хиляди долара. Същите са блокирани в идентифициран като хакерски адрес.
Възможна жертва са само и единствено потребителите, инициирали интеракция със засегнатите приложения в периода, в който зловредният код е бил част от библиотеката, изтъкват специалисти. Самият Ledger Live и Ledger Nano портфейлите не са били засегнати.
Разрешен ли е проблемът?
Безопасната версия 1.1.8 е пусната още вчера. Засегнатите приложения са информирани, заедно с властите. Препоръката на Ledger обаче е потребителите да се въздържат от интеракция с децентрализирани приложения в рамките на 24 часа, докато всички DApps ъпгрейдат до новата версия на Ledger Connect Kit.
FINAL TIMELINE AND UPDATE TO CUSTOMERS:
— Ledger (@Ledger) December 14, 2023
4:49pm CET:
Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.
The investigation continues, here is the timeline of what we know about…
Въпроси и отговори за Ledger Connect Kit хака
Не, не е. Към момента няма данни хакерската атака да има каквото и да било влияние върху Ledger Nano портфейлите или Ledger Live софтуерът.
Към момента няма опасност при стандартно боравене с Ledger Nano портфейл и управлението на средства през Ledger Live. Съветът към потребителите е да се въздържат от използване на децентрализирани приложения до края на деня. В сила са и традиционните съвети:
* Никога не споделяйте своята сийд фраза с никого.
* Преди да потвърдите трансакция, винаги проверявайте дали адресът на екрана на компютъра/телефона Ви съвпада с този на екрана на хардуерния портфейл.
* Избягвайте подписването на трансакции или смартконтакти, които не сте инициирали сами, не разбирате или които изглеждат съмнителни.
* Не се доверявайте на имейли, съобщения или уебсайтове, които искат от Вас да споделите сийда си, обещават Ви огромни и бързи печалби и/или настоятелно Ви приканват към крипто интеракция/трансакция, за която не сте сигурни, че желаете да потвърдите.
Липсват ли токъни от баланса Ви? Ако не – значи няма за какво да се тревожите! Потенциално засегнати са единствено потребители, имали интеракция с използващо зловредната версия на Ledger Connect Kit децентрализирано приложение в часовете около обяд българско време на 14 декември 2023 година. Ако не сте го правили, Вашите средства не са ззастрашени.
Препоръката на експертите е да се въздържате от интеракция с децентрализирани приложения до края на деня. Освен това е препоръчително да изчистите кеша на своя браузър, преди отново да използвате DApps.
Към момента хакерската атака е в процес на разследване. От Ledger уверяват, че засегнатите лица ще получат съдействие за възстановяване на източените средства.