مرحبا الجميع،

لقد واجهنا اليوم استغلالًا في Ledger Connect Kit، وهي مكتبة Javascript تقوم بتنفيذ زر يسمح للمستخدمين بتوصيل جهاز Ledger الخاص بهم بتطبيقات DApps التابعة لجهات خارجية (مواقع الويب المتصلة بالمحفظة).

كان هذا الاستغلال نتيجة لوقوع موظف سابق ضحية لهجوم تصيد احتيالي، مما سمح لممثل سيء بتحميل ملف ضار إلى Ledger's NPMJS (مدير حزم كود Javascript المشترك بين التطبيقات).

لقد عملنا بسرعة، جنبًا إلى جنب مع شريكنا WalletConnect، لمعالجة الاستغلال، وتحديث NPMJS لإزالة التعليمات البرمجية الضارة وإلغاء تنشيطها في غضون 40 دقيقة من اكتشافها. وهذا مثال جيد على العمل الجماعي السريع معًا لمواجهة التحديات الأمنية. 

والآن، أود أن أتناول سبب حدوث ذلك، وكيف سنقوم بتحسين ممارساتنا الأمنية للتخفيف من هذه المخاطر المحددة في المستقبل، ومشاركة توصياتنا مع الصناعة، حتى نتمكن من أن نكون أقوى معًا.

الممارسة القياسية في Ledger هي أنه لا يمكن لأي شخص واحد نشر التعليمات البرمجية دون مراجعة من قبل أطراف متعددة. لدينا ضوابط وصول قوية ومراجعات داخلية وتوقيعات متعددة للأكواد عندما يتعلق الأمر بمعظم أجزاء التطوير لدينا. وهذا هو الحال في 99% من أنظمتنا الداخلية. يتم إلغاء وصول أي موظف يغادر الشركة من كل نظام دفتر الأستاذ.

وكان هذا حادثا معزولا مؤسفا. إنه تذكير بأن الأمان ليس ثابتًا، ويجب على Ledger تحسين أنظمة وعمليات الأمان لدينا بشكل مستمر. في هذا المجال، سيقوم Ledger بتنفيذ ضوابط أمنية أقوى، وربط خط أنابيب البناء الخاص بنا الذي ينفذ أمانًا صارمًا لسلسلة توريد البرامج بقناة توزيع NPM.

إنه أيضًا تذكير بأننا نحتاج بشكل جماعي إلى الاستمرار في رفع مستوى الأمان حول التطبيقات اللامركزية (DApps) حيث سيشارك المستخدمون في التوقيع المستند إلى المتصفح. لقد كانت خدمة ليدجر هي التي تم استغلالها هذه المرة، ولكن في المستقبل يمكن أن يحدث هذا لخدمة أو مكتبة أخرى.

في Ledger، نعتقد أن التوقيع الواضح، بدلاً من التوقيع الأعمى، سيساعد في تخفيف هذه المشكلات. إذا تمكن المستخدم من رؤية ما قام بالتوقيع عليه على شاشة موثوقة، فيمكن تجنب التوقيع على المعاملات المارقة عن غير قصد.

أجهزة دفتر الأستاذ هي منصات مفتوحة. لدى Ethereum نظام مكون إضافي يسمح للتطبيقات اللامركزية بتنفيذ التوقيع الواضح، ويمكن للتطبيقات اللامركزية التي ترغب في تنفيذ هذه الحماية لمستخدميها معرفة كيفية ذلك على Developer.ledger.com. بنفس الطريقة التي رأينا بها المجتمع يجتمع معًا اليوم، فإننا نتطلع إلى مساعدتك في توفير توقيع واضح لجميع التطبيقات اللامركزية.

لقد تعامل ليدجر مع السلطات ويبذل كل ما في وسعه للمساعدة أثناء تطور هذا التحقيق. سيدعم Ledger المستخدمين المتأثرين في المساعدة في العثور على هذا الممثل السيئ وتقديمهم إلى العدالة وتتبع الأموال والعمل مع جهات إنفاذ القانون للمساعدة في استعادة الأصول المسروقة من المتسلل. نحن نأسف بشدة للأحداث التي وقعت اليوم بالنسبة للأفراد المتضررين. 

الوضع الآن تحت السيطرة وانتهى التهديد. نحن نتفهم الذعر الذي سببه هذا للمجتمع والنظام البيئي الأوسع. 

يتوفر جدول زمني كامل أدناه حتى تتمكن من معرفة كيفية استجابة فرقنا وشركائنا.

وشكرا لكم،
باسكال غوتييه

رئيس مجلس الإدارة والرئيس التنفيذى

-

فيما يلي الجدول الزمني لما نعرفه عن الاستغلال في هذه اللحظة:

هذا الصباح بتوقيت وسط أوروبا، وقع موظف سابق في Ledger ضحية لهجوم تصيد احتيالي تمكن من الوصول إلى حساب NPMJS الخاص به. نشر المهاجم إصدارًا ضارًا من Ledger Connect Kit (يؤثر على الإصدارات 1.1.5 و1.1.6 و1.1.7). استخدمت التعليمات البرمجية الضارة مشروع WalletConnect المارق لإعادة توجيه الأموال إلى محفظة القراصنة. تم تنبيه فرق التكنولوجيا والأمن في Ledger وتم نشر الإصلاح في غضون 40 دقيقة من علم Ledger. كان الملف الضار موجودًا لمدة 5 ساعات تقريبًا، ومع ذلك نعتقد أن الفترة التي تم فيها استنزاف الأموال كانت محدودة بفترة أقل من ساعتين. قام Ledger بالتنسيق مع WalletConnect الذي قام بتعطيل المشروع المارق بسرعة. يتم الآن نشر إصدار Ledger Connect Kit الأصلي والمعتمد 1.1.8 وهو آمن للاستخدام.

بالنسبة للمنشئين الذين يقومون بالتطوير والتفاعل مع كود Ledger Connect Kit: أصبح فريق تطوير أدوات الاتصال في مشروع NPM الآن للقراءة فقط ولا يمكنهم دفع حزمة NPM مباشرة لأسباب تتعلق بالسلامة. لقد قمنا بتدوير الأسرار داخليًا للنشر على Ledger's GitHub. أيها المطورون، يرجى التحقق مرة أخرى من أنك تستخدم الإصدار الأحدث، 1.1.8.

أبلغ Ledger، جنبًا إلى جنب مع WalletConnect وشركائنا، عن عنوان محفظة الممثل السيئ. العنوان مرئي الآن على تشيناليسيس. قامت شركة Tether بتجميد عملة USDT الخاصة بالممثل السيئ.

نذكّر المستخدمين دائمًا بمسح التوقيع باستخدام دفتر الأستاذ الخاص بك. ما تراه على شاشة دفتر الأستاذ هو ما تقوم بالتوقيع عليه بالفعل. إذا كنت لا تزال بحاجة إلى التوقيع الأعمى، فاستخدم محفظة Ledger mint إضافية أو قم بتحليل معاملتك يدويًا. نحن نتحدث بنشاط مع العملاء الذين ربما تأثرت أموالهم، ونعمل بشكل استباقي لمساعدة هؤلاء الأفراد في هذا الوقت. نقوم أيضًا بتقديم شكوى ونعمل مع جهات إنفاذ القانون في التحقيق للعثور على المهاجم. علاوة على ذلك، نحن ندرس الاستغلال لتجنب المزيد من الهجمات. نعتقد أن عنوان المهاجم الذي تم استنزاف الأموال فيه موجود هنا: 0x658729879fca881d9526480b82ae00efc54b5c2d

نود أن نشكر WalletConnect وTether وChainalis وzachxbt والمجتمع بأكمله الذي ساعدنا ويواصل مساعدتنا في تحديد هذا الهجوم وحله بسرعة. سوف يسود الأمن دائمًا بمساعدة النظام البيئي بأكمله.

فريق ليدجر

النسخة الفرنسية:

رسالة لباسكال غوتييه، رئيس مجلس الإدارة والرئيس التنفيذي لشركة Ledger، حول استغلال Ledger Connect Kit

صباح الخير à طوس،

اليوم، واجهنا استغلالًا لـ Ledger Connect Kit، وهي مكتبة جافا سكريبت تدمج زرًا يسمح لمستخدمي توصيل أجهزتهم Ledger بالتطبيقات اللامركزية ذات المستويات.

هذا الموقف هو حقيقة أن موظفًا قديمًا كان ضحية هجوم تصيد احتيالي، مما يسمح لممثل ضار بتنزيل ملف ضار على NPMJS من Ledger (مدير الحزم لكود Javascript الذي يشارك بين التطبيقات) .

لقد تم الرد سريعًا والتنسيق مع شركائنا WalletConnect لمعالجة الموقف. خلال الـ 40 دقيقة التالية لتحديد هوية المستخدم، سنستخدم NPMJS يوميًا لإزالة الكود الضار وإلغاء تنشيطه. هذه الحلقة تتناول فعالية صناعة الحفلات الموسيقية للتغلب على أهم التحديات الأمنية.

نتخلى عن أسباب هذا الحادث ونشرح كيف نعزز ممارساتنا الأمنية للتخفيف من المخاطر المحددة في المستقبل. نحن مشاركون أيضًا في توصياتنا مع الصناعة لتعزيز التعاون.

Chez Ledger، هو المعيار الأمني ​​الذي ينص على أنه لا يمكن لأي شخص بمفرده نشر الكود دون أن يتم فحصه من قبل العديد من الأطراف، وهي عملية مطبقة في 99٪ من أنظمتنا الداخلية. بالإضافة إلى ذلك، سيتمكن كل موظف من المؤسسة من الوصول إلى جميع أنظمة Ledger.

هذه الحادثة، سيئة ومعزولة، حيث أن الأمن في تطور مستمر، مما يتطلب استمرار التحسين في أنظمتنا. في هذا السياق، يعمل ليدجر في مكان ضوابط الأمن المعززة، وهي سلسلة البناء التي تطبق أمانًا صارمًا على سلسلة الموافقة على قناة التوزيع NPM.

يتم أيضًا ربطه معًا، حيث يتعين علينا رفع معايير الأمان للتطبيقات اللامركزية (DApps) أو المستخدمين التفاعليين من خلال التوقيعات الأساسية على المتصفح. عندما تكون هذه خدمة دفتر الأستاذ التي تم استغلالها، فمن الممكن أن يتم إنتاجها في المستقبل من خلال خدمة أخرى أو مكتبة.

Chez Ledger، لدينا أقلام تلوين فعالة للتوقيع الواضح من خلال التوقيع الأعمى لتخفيف هذه المشاكل. إذا تمكن المستخدم من التوقيع على شاشة الثقة، فقد يتم تجنب التوقيع الإلزامي للمعاملات الاحتيالية دائمًا.

أجهزة Ledger هي لوحات مفتوحة. يوفر Ethereum نظامًا من المكونات الإضافية يسمح للتطبيقات اللامركزية بتنفيذ التوقيع الواضح. يمكن للمطورين المهتمين معرفة المزيد sur Developer.ledger.com. لكل ما نريده من حشد المجتمع مؤخرًا، نحضر مساعدتنا لدمج التوقيع الواضح في جميع التطبيقات اللامركزية.

يتعاون دفتر الأستاذ مع السلطات ويتخذ جميع الإجراءات الممكنة للمساعدة في الاستفسار خلال الدورة. نحن ندعم المستخدمين المتأثرين في تحديد هوية الممثل الضار، والتاجر في العدالة، واستعادة الأموال والتعاون مع قوات النظام لاستعادة الأنشطة التي تريدها. نحن نأسف بعمق لأحداث اليوم للأشخاص الذين تم لمسهم.

يتم التحكم في الوضع بشكل محكم، ويتم تشغيل التهديد. نحن ندرك الاهتمام الذي يمكن أن يحدث في المجتمع والنظام البيئي. يمكنك العثور على تسلسل زمني كامل للتعليق على معداتنا وشركائنا.

وشكرا لكم،

باسكال غوتييه

-

إليك التسلسل الزمني لذلك الذي نعرفه عن الاستغلال في الوقت الحالي:

هذا هو اليوم (CET)، وهو موظف قديم في Ledger، وقع ضحية هجوم تصيد احتيالي سمح لمتسلل بالوصول إلى حساب NPMJS. نشر المتسلل إصدارًا ضارًا من Ledger Connect Kit (يؤثر على الإصدارات 1.1.5 و1.1.6 و1.1.7). يستخدم الرمز الخبيث مشروع WalletConnect الاحتيالي لإعادة تحويل الأموال إلى محفظة أحد المتسللين. تم تنبيه معدات Ledger الأمنية، وتم نشر تصحيح خلال 40 دقيقة بعد جائزة الضمير ليدجر. تم تنشيط الملف السيء لمدة 5 ساعات تقريبًا، ولكننا نعتقد أن النافذة المعلقة على الصندوق قد تم تغييرها لمدة تقل عن ساعتين. قام Ledger بالتعاون مع WalletConnect، والذي أدى إلى إلغاء تنشيط المشروع الاحتيالي بسرعة. الإصدار الأصلي والمثبت من Ledger Connect Kit، الإصدار 1.1.8، غير قابل للنشر ويمكن استخدامه بأمان تام.

للمطورين الذين يعملون على كود Ledger Connect Kit : إن معدات تطوير مجموعة أدوات الاتصال الخاصة بمشروع NPM تتعطل أثناء القراءة وحدها ولا يمكن دفع حزمة NPM مباشرة عن طريق قياس الأمان. نحن نرغب في تغيير الأسرار للنشر على GitHub de Ledger. للمطورين: يرجى التحقق مرة أخرى من أنك تستخدم الإصدار الأخير، 1.1.8.

Ledger، بالتعاون مع WalletConnect وشركائنا، للإشارة إلى عنوان محفظة المخالفات. العنوان غير مرئي على Chainalogy. قم بربط خطأ USDT.

نحن نتصل بمستخدمي اليوم "علامة واضحة" لمعاملاتك مع دفتر الأستاذ الخاص بك. إن ما تشاهده على شاشة Ledger هو ما توقعه حقًا. إذا كنت تريد التوقيع دائمًا بطريقة جيدة، فاستخدم محفظة دفتر الأستاذ الإضافي أو قم بتحليل معاملتك يدويًا. نحن نتواصل مع العملاء بشكل فعال من أجل تجنب التأثير وأعمال التصرف الاستباقية للمساعدة في هذه اللحظة. نحن نودع أيضًا شكوى ونتعاون مع قوات النظام في إطار التحقيق لاستعادة الهجوم. بالإضافة إلى ذلك، لدينا دراسات حول الاستغلال لتجنب الهجمات المستقبلية. نعتقد أن عنوان مهاجمة الأموال التي تم تحويلها هو التالي: 0x658729879fca881d9526480b82ae00efc54b5c2d

نستخدم طرقًا لإعادة استخدام WalletConnect وTether وChainalis وzachxbt وكل المجتمع الذي يساعدنا ويستمر في مساعدتنا في التعرف السريع واستعادة هذا الهجوم. الأمان متاح دائمًا بمساعدة مجموعة النظام البيئي.

ليكيب دي ليدجر

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit