Producent portfela sprzętowego Ledger ostrzegł użytkowników, aby nie łączyli się ze zdecentralizowanymi aplikacjami (dapps), po zidentyfikowaniu złośliwej wersji zestawu Ledger Connect Kit.
Rzecznik Ledger powiedział TCN, że „zidentyfikowaliśmy i usunęliśmy złośliwą wersję Ledger Connect Kit. Oryginalna wersja jest obecnie wypychana w celu zastąpienia złośliwego pliku. Na razie nie należy wchodzić w interakcje z żadnymi dApps”. Rzecznik dodał, że urządzenia Ledger i aplikacja Ledger Live nie zostały naruszone, a firma „będzie informować użytkowników w miarę rozwoju sytuacji”.
Twórca portfela oprogramowania MetaMask również ostrzegł użytkowników, aby „przestali używać dapps”, gdy pojawiły się wiadomości o ataku.
Zaatakowana wersja Connect Kit, biblioteki, która umożliwia portfelowi sprzętowemu Ledger łączenie się z dapps, została po raz pierwszy zidentyfikowana przez programistów publikujących na Twitterze.
Zidentyfikowaliśmy i usunęliśmy złośliwą wersję Ledger Connect Kit.
Oryginalna wersja jest obecnie wypychana, aby zastąpić złośliwy plik. Na razie nie należy wchodzić w interakcje z żadnymi dApps. Będziemy informować na bieżąco o rozwoju sytuacji.
Twoje urządzenie Ledger i…
– Ledger (@Ledger) 14 grudnia 2023
Firma BlockAid zajmująca się bezpieczeństwem Web3 poinformowała, że „atakujący wstrzyknął ładunek drenujący portfel” do pakietu NPM zestawu ledgerconnect, dodając, że dapps korzystające z wersji 1.1.4 i nowszych zestawu Ledger’s connect-kit, w tym Sushi.com i Hey.xyz, zostały dotknięte.
Wykryliśmy potencjalny atak łańcucha dostaw na zestaw ledgerconnect
Atakujący wstrzyknął ładunek drenujący portfel do popularnego pakietu NPM.
Obecnie dotyczy to kilku popularnych aplikacji, w tym między innymi https://t.co/2QJmKIGv9T– Blockaid (@blockaid_) December 14, 2023
SushiSwap CTO Matthew Lilley zganił Ledgera za „łańcuch okropnych błędów”, wyjaśniając, że „powszechnie używane złącze web3 zostało naruszone, co pozwala na wstrzyknięcie złośliwego kodu wpływającego na wiele dApps”.
Dodał, że użytkownicy powinni unikać korzystania z jakichkolwiek dapps „dopóki ich zespoły nie potwierdzą, że złagodzili atak”.
Łącznik programistów rdzenia Ethereum, Hudson Jameson, wyjaśnił, że „biblioteka używana przez wiele dapps, która jest utrzymywana przez Ledger, została naruszona i dodano drenarkę portfela”. Powtarzając, że „korzystanie z dapps jest obecnie ryzykowne, jeśli nie rozumiesz, jakich bibliotek backendowych używają”, Jameson dodał, że „nawet po tym, jak Ledger poprawi zły kod w swojej bibliotece, projekty wykorzystujące i wdrażające tę bibliotekę będą musiały zaktualizować rzeczy, zanim będzie można bezpiecznie korzystać z dapps korzystających z bibliotek web3 Ledger”.
Ledger spotkał się z krytyką dotyczącą jego bezpieczeństwa w ostatnich miesiącach, a dobrowolna usługa Recover oparta na identyfikatorze firmy przyciągnęła gniew użytkowników kryptowalut.
Usługa ta, która nie jest powiązana z dzisiejszym atakiem, dzieli frazę seed użytkownika i przechowuje ją u trzech oddzielnych opiekunów, wymagając od użytkownika podania paszportu lub dowodu osobistego jako dowodu tożsamości. Zirytowani użytkownicy nazwali usługę „backdoorem”, a współzałożyciel Ledgera, Éric Larchevêque, nazwał wdrożenie usługi „całkowitą porażką PR, ale absolutnie nie techniczną”.
W listopadzie oszukańcza aplikacja Ledger w Microsoft App Store wyłudziła prawie 1 milion dolarów od niczego niepodejrzewających klientów, podczas gdy w 2020 roku firma spotkała się z krytyką po włamaniu do bazy danych e-mail klientów, w wyniku którego ponad milion e-maili użytkowników zostało naruszonych.
