Разработчик аппаратных кошельков Ledger сообщил о компрометации библиотеки ПО, которую используют децентрализованные приложения. Хакер смог внедрять вредоносный код в их интерфейсы.
FINAL TIMELINE AND UPDATE TO CUSTOMERS:
4:49pm CET:
Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.
The investigation continues, here is the timeline of what we know about…
— Ledger (@Ledger) December 14, 2023
Согласно заявлению, 14 декабря примерно в 4:35 (МСК, 3:35 Киев) злоумышленник заменил подлинную версию Ledger Connect Kit на фейковую. Физические устройства пользователей и приложение Ledger Live атака не затронула.
Команда удалила вредоносный файл, новая оригинальная версия 1.1.8 «распространяется автоматически». Однако разработчики не рекомендовали использовать ПО в течение суток.
Предварительное расследование показало, что хакер получил доступ к аккаунту в сервисе NPMJS через фишинговую атаку на экс-сотрудника Ledger.
Размещенный вредоносный файл просуществовал около 5 часов, но промежуток, в котором происходила кража средств, команда оценила в 2 часа. Для вывода активов злоумышленник задействовал WalletConnect, который отключил кошелек скамера.
В Ledger не озвучили сумму ущерба, но заявили, что связались с пострадавшими клиентами для обсуждения компенсации.
Для поиска злоумышленника компания намерена обратиться в правоохранительные органы.
В Ledger напомнили пользователям, что при совершении транзакции необходимо подписывать их с помощью Clear Sign. В случае расхождения информации на дисплее кошелька и на экране компьютера или смартфона стоит немедленно прекратить операцию, подчеркнули разработчики.
#PeckShieldAlert Our community contributor has reported that the front ends of #Zapper, #Sushi have been compromised.https://t.co/WPkLZfNKpO
— PeckShieldAlert (@PeckShieldAlert) December 14, 2023
По сообщению PeckShield, инцидент привел к компрометации фронтэндов Zapper и SushiSwap.
🚨🚨🚨 RED ALERT 🚨🚨🚨:
Do not interact with ANY dApps until further notice. It appears that a commonly used web3 connector has been compromised which allows for injection of malicious code affecting numerous dApps.
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
Company that secures billions of dollars yet doesn’t stop former employees from having access, which is one of the most basic security procedures… LMAO
— CryptoLonghorn 🔥💃 (@CryptoLonghorn) December 14, 2023
В сообществе вспомнили прежние инциденты вроде утечки данных миллиона пользователей кошелька в 2020 году, которая привела к массированным фишинговым атакам, или обнаружения критических уязвимостей.
В мае команда Ledger представила спорный инструмент, позволяющий создать резервную копию сид-фразы для возобновления доступа к устройству Nano X. Решение вызвало критику со стороны многих участников индустрии, а продажи основного конкурента — Trezor — подскочили на 900%.
Напомним, в ноябре пользователи, скачавшие поддельное приложение Ledger Live, размещенное в Microsoft Store, потеряли $768 000 в цифровых активах.