Пользователи Ledger пострадали от взлома коннектора кошелька с dapps

Разработчик аппаратных кошельков Ledger сообщил о компрометации библиотеки ПО, которую используют децентрализованные приложения. Хакер смог внедрять вредоносный код в их интерфейсы.

Согласно заявлению, 14 декабря примерно в 4:35 (МСК, 3:35 Киев) злоумышленник заменил подлинную версию Ledger Connect Kit на фейковую. Физические устройства пользователей и приложение Ledger Live атака не затронула. 

Команда удалила вредоносный файл, новая оригинальная версия 1.1.8 «распространяется автоматически». Однако разработчики не рекомендовали использовать ПО в течение суток.

Предварительное расследование показало, что хакер получил доступ к аккаунту в сервисе NPMJS через фишинговую атаку на экс-сотрудника Ledger. 

Размещенный вредоносный файл просуществовал около 5 часов, но промежуток, в котором происходила кража средств, команда оценила в 2 часа. Для вывода активов злоумышленник задействовал WalletConnect, который отключил кошелек скамера.

В Ledger не озвучили сумму ущерба, но заявили, что связались с пострадавшими клиентами для обсуждения компенсации.

Для поиска злоумышленника компания намерена обратиться в правоохранительные органы. 

В Ledger напомнили пользователям, что при совершении транзакции необходимо подписывать их с помощью Clear Sign. В случае расхождения информации на дисплее кошелька и на экране компьютера или смартфона стоит немедленно прекратить операцию, подчеркнули разработчики.

По сообщению PeckShield, инцидент привел к компрометации фронтэндов Zapper и SushiSwap.

«Не взаимодействуйте ни с какими dapps до дальнейшего уведомления. Похоже, широко используемый Web3-коннектор был скомпрометирован, что позволяет внедрять вредоносный код, затрагивающий многочисленные приложения», — предупредил после обнаружения атаки CTO Sushi Мэттью Лилли.

Команда платформы Balancer предложила пользователям временно не использовать ее интерфейс, протокол для управления криптоактивами Revoke.cash отключил свой сайт.

Специализирующаяся на кибербезопасности в Web3-индустрии компания BlockAid сообщила Blockworks, что обнаружила потерю проектами по меньшей мере $150 000 из-за внедрения вредоносного кода. Специалисты фирмы упомянули в списке потенциально пострадавших от атаки сайтов Sushi, Zapper, MetalSwap и EchoDEX.

Многие комментаторы под сообщением Ledger с предварительными результатами расследования задались вопросом, каким образом у бывшего сотрудника оставался доступ к критически важному для безопасности аккаунту.

В сообществе вспомнили прежние инциденты вроде утечки данных миллиона пользователей кошелька в 2020 году, которая привела к массированным фишинговым атакам, или обнаружения критических уязвимостей.

По его словам, обновление библиотеки произошло спустя 40 минут после обнаружения атаки, а подобные инциденты — «досадный единичный случай, который напоминает о необходимости поднимать планку безопасности вокруг dapps, несмотря на внедренные механизмы в компаниях».

В мае команда Ledger представила спорный инструмент, позволяющий создать резервную копию сид-фразы для возобновления доступа к устройству Nano X. Решение вызвало критику со стороны многих участников индустрии, а продажи основного конкурента — Trezor — подскочили на 900%. 

Напомним,  в ноябре пользователи, скачавшие поддельное приложение Ledger Live, размещенное в Microsoft Store, потеряли $768 000 в цифровых активах.

Источник — ForkLog