Hallo allerseits,

Heute haben wir einen Exploit im Ledger Connect Kit erlebt, einer Javascript-Bibliothek, die eine Schaltfläche implementiert, die es Benutzern ermöglicht, ihr Ledger-Gerät mit DApps (Wallet-verbundene Websites) von Drittanbietern zu verbinden.

Dieser Exploit war das Ergebnis eines Phishing-Angriffs, bei dem ein ehemaliger Mitarbeiter Opfer eines Phishing-Angriffs wurde, der es einem Angreifer ermöglichte, eine schädliche Datei auf Ledgers NPMJS (einen Paketmanager für von Apps gemeinsam genutzten Javascript-Code) hochzuladen.

Gemeinsam mit unserem Partner WalletConnect haben wir schnell an der Behebung des Exploits gearbeitet und das NPMJS aktualisiert, um den Schadcode innerhalb von 40 Minuten nach der Entdeckung zu entfernen und zu deaktivieren. Dies ist ein gutes Beispiel dafür, dass die Branche schnell zusammenarbeitet, um Sicherheitsherausforderungen zu bewältigen. 

Nun möchte ich darauf eingehen, warum dies passiert ist, wie wir unsere Sicherheitspraktiken verbessern werden, um dieses spezifische Risiko in Zukunft zu mindern, und unsere Empfehlung an die Branche weitergeben, damit wir gemeinsam stärker sein können.

Die gängige Praxis bei Ledger ist, dass keine einzelne Person Code ohne Überprüfung durch mehrere Parteien bereitstellen kann. Für die meisten Teile unserer Entwicklung verfügen wir über strenge Zugriffskontrollen, interne Überprüfungen und Code-Mehrfachsignaturen. Dies ist in 99 % unserer internen Systeme der Fall. Jedem Mitarbeiter, der das Unternehmen verlässt, wird der Zugriff auf alle Ledger-Systeme entzogen.

Dies war ein bedauerlicher Einzelfall. Es ist eine Erinnerung daran, dass Sicherheit nicht statisch ist und Ledger unsere Sicherheitssysteme und -prozesse kontinuierlich verbessern muss. In diesem Bereich wird Ledger strengere Sicherheitskontrollen implementieren und unsere Build-Pipeline, die strenge Software-Lieferkettensicherheit implementiert, mit dem NPM-Vertriebskanal verbinden.

Es ist auch eine Erinnerung daran, dass wir gemeinsam die Messlatte für die Sicherheit rund um DApps, bei denen Benutzer browserbasierte Signaturen durchführen, weiter höher legen müssen. Diesmal wurde der Dienst von Ledger ausgenutzt, aber in Zukunft könnte dies auch einem anderen Dienst oder einer anderen Bibliothek passieren.

Wir bei Ledger glauben, dass klares Signieren im Gegensatz zum blinden Signieren dazu beitragen wird, diese Probleme zu mildern. Wenn der Benutzer auf einem vertrauenswürdigen Display sehen kann, was er signiert, kann das unbeabsichtigte Signieren betrügerischer Transaktionen vermieden werden.

Ledger-Geräte sind offene Plattformen. Ethereum verfügt über ein Plugin-System, das es DApps ermöglicht, klare Signaturen zu implementieren, und DApps, die diesen Schutz für ihre Benutzer implementieren möchten, können lernen, wie auf Developer.ledger.com. So wie wir heute gesehen haben, wie die Community zusammengekommen ist, freuen wir uns auf Ihre Hilfe, um eine klare Signatur für alle DApps zu erreichen.

Ledger hat mit den Behörden Kontakt aufgenommen und tut alles, was wir können, um im Verlauf dieser Untersuchung zu helfen. Ledger wird betroffene Benutzer dabei unterstützen, diesen Übeltäter zu finden, ihn vor Gericht zu bringen, die Gelder zu verfolgen und mit den Strafverfolgungsbehörden zusammenzuarbeiten, um dem Hacker gestohlene Vermögenswerte zurückzugeben. Wir bedauern die Ereignisse, die sich heute für die betroffenen Personen zugetragen haben, zutiefst. 

Die Situation ist jetzt unter Kontrolle und die Bedrohung ist vorüber. Wir verstehen die Panik, die dies in der Community und im gesamten Ökosystem ausgelöst hat. 

Unten finden Sie eine vollständige Zeitleiste, damit Sie sehen können, wie unsere Teams und Partner reagiert haben.

Wir freuen uns auf Sie!
Pascal Gauthier

Vorsitzender

-

Hier ist die Zeitleiste dessen, was wir derzeit über den Exploit wissen:

Heute Morgen MEZ wurde ein ehemaliger Ledger-Mitarbeiter Opfer eines Phishing-Angriffs, der sich Zugang zu seinem NPMJS-Konto verschaffte. Der Angreifer hat eine bösartige Version des Ledger Connect Kit veröffentlicht (betroffen sind die Versionen 1.1.5, 1.1.6 und 1.1.7). Der Schadcode nutzte ein betrügerisches WalletConnect-Projekt, um Gelder an eine Hacker-Wallet umzuleiten. Die Technologie- und Sicherheitsteams von Ledger wurden alarmiert und innerhalb von 40 Minuten, nachdem Ledger davon Kenntnis erlangte, wurde eine Lösung bereitgestellt. Die bösartige Datei war etwa fünf Stunden lang aktiv. Wir gehen jedoch davon aus, dass der Zeitraum, in dem Gelder abgezogen wurden, auf einen Zeitraum von weniger als zwei Stunden begrenzt war. Ledger stimmte sich mit WalletConnect ab, das das betrügerische Projekt schnell deaktivierte. Die echte und verifizierte Ledger Connect Kit-Version 1.1.8 wird jetzt verbreitet und ist sicher zu verwenden.

Für Builder, die den Ledger Connect Kit-Code entwickeln und mit ihm interagieren: Das Connect-Kit-Entwicklungsteam des NPM-Projekts ist jetzt schreibgeschützt und kann das NPM-Paket aus Sicherheitsgründen nicht direkt pushen. Wir haben die Geheimnisse intern rotiert, um sie auf GitHub von Ledger zu veröffentlichen. Entwickler, bitte überprüfen Sie noch einmal, ob Sie die neueste Version, 1.1.8, verwenden.

Ledger hat zusammen mit WalletConnect und unseren Partnern die Wallet-Adresse des Angreifers gemeldet. Die Adresse ist jetzt auf Chainalysis sichtbar. Tether hat den USDT des Bösewichts eingefroren.

Wir erinnern Benutzer daran, die Signatur immer mit ihrem Hauptbuch zu löschen. Was Sie auf dem Ledger-Bildschirm sehen, ist das, was Sie tatsächlich unterschreiben. Wenn Sie dennoch eine Blindsignierung benötigen, verwenden Sie ein zusätzliches Ledger-Mint-Wallet oder analysieren Sie Ihre Transaktion manuell. Wir sprechen aktiv mit Kunden, deren Gelder möglicherweise betroffen sind, und arbeiten proaktiv daran, diesen Personen in dieser Zeit zu helfen. Wir reichen außerdem eine Beschwerde ein und arbeiten mit den Strafverfolgungsbehörden an den Ermittlungen, um den Angreifer zu finden. Darüber hinaus untersuchen wir den Exploit, um weitere Angriffe zu verhindern. Wir glauben, dass die Adresse des Angreifers, von der die Gelder abgezogen wurden, hier ist: 0x658729879fca881d9526480b82ae00efc54b5c2d

Wir möchten uns bei WalletConnect, Tether, Chainalysis, zachxbt und der gesamten Community bedanken, die uns geholfen hat und uns weiterhin dabei hilft, diesen Angriff schnell zu erkennen und zu lösen. Mit Hilfe des gesamten Ökosystems wird die Sicherheit immer vorherrschen.

Das Ledger-Team

Französische Version:

Eine Nachricht von Pascal Gauthier, Chairman & CEO von Ledger, über die Nutzung des Ledger Connect Kit

Hallo alle,

Heute sind wir mit einer Nutzung des Ledger Connect Kit konfrontiert, eine Javascript-Bibliothek verfügt über eine Schaltfläche, mit der Benutzer ihr Ledger-Gerät mit dezentralen Anwendungen verbinden können.

Diese Situation besteht darin, dass ein alter Mitarbeiter Opfer eines Phishing-Angriffs geworden ist, weil ein böswilliger Akteur eine böswillige Datei auf den NPMJS von Ledger heruntergeladen hat (ein Paketverwaltungscode für Javascript-Code, der in die Anwendungen integriert ist). .

Wir reagierten schnell und koordiniert mit unserem Partner WalletConnect, um Abhilfe zu schaffen. Innerhalb von 40 Minuten nach der Identifizierung des Sohnes haben wir den NPMJS täglich entfernt, um den schädlichen Code zu entfernen und zu deaktivieren. In diesem Abschnitt wurde die Wirksamkeit der Konzertindustrie unter Beachtung wichtiger Sicherheitsrisiken festgestellt.

Verzichten Sie auf die Gründe für diesen Vorfall und erklären Sie uns, dass wir unsere Sicherheitspraktiken verstärken, um darauf zu achten, dass das Risiko besonders hoch ist. Wir haben der Industrie auch Empfehlungen gegeben, um unsere Zusammenarbeit zu stärken.

Chez Ledger, die Sicherheitsnorm, die besagt, dass nur eine Person den Code einsetzen kann, ohne ihn von anderen Parteien prüfen zu lassen, ist zu 99 % in unseren internen Systemen praktisch anwendbar. Darüber hinaus hat jeder Mitarbeiter, der das Unternehmen verlassen hat, keinen Zugriff mehr auf alle Ledger-Systeme erhalten.

Dieser Vorfall, malheureux und isoliert, da sich die Sicherheit ständig weiterentwickelt, war eine kontinuierliche Verbesserung unserer Systeme erforderlich. In diesem Zusammenhang befindet sich Ledger an der Stelle der verstärkten Sicherheitskontrollen und benötigt unsere Baukette, die eine strenge Sicherheit für die Genehmigungskette des NPM-Vertriebskanals anwendet.

Es ist auch so, dass wir gemeinsam die Sicherheitsnormen für dezentrale Anwendungen (DApps) oder die mit den auf dem Browser basierenden Signaturen verbundenen Benutzer anwenden. Da dies der Dienst von Ledger war, der ausgenutzt wurde, musste er mit einem anderen Dienst oder einer Bibliothek auf den Weg gebracht werden.

Chez Ledger, wir weisen auf die Wirksamkeit von Clear-Signing durch Rapport und Blind-Signing hin, um diese Probleme zu vermeiden. Wenn der Benutzer nicht weiß, was er auf einem vertraulichen Konto unterschrieben hat, wird die unfreiwillige Unterschrift bei betrügerischen Transaktionen für alle Tage entfernt.

Die Ledger-Appareils sind aus Plattenform gefertigt. Ethereum bietet ein Plug-in-System für DApps zur Implementierung von Clear-Signing an. Interessierte Entwickler können sich mehr auskennen auf Developer.ledger.com. Als wir die Gemeinschaft vor Kurzem mobilisierten, haben wir uns an Ihren Helfer gewandt, um Clear-Signing in alle DApps zu integrieren.

Ledger arbeitet mit den Behörden zusammen und unternimmt alle möglichen Maßnahmen, um die Anfrage vor Ort zu unterstützen. Wir unterstützen die Benutzer bei der Identifizierung des böswilligen Schauspielers, bei der Ausübung der Justiz, bei der Rückzahlung von Beständen und bei der Zusammenarbeit mit den Kräften der Ordnung, um die freiwilligen Taten wiederzuerlangen. Wir bedauern, dass wir die Abendveranstaltungen für die Menschen, die wir berühren, so sehr bedauern.

Die Situation wird unter Kontrolle gehalten, die Bedrohung wird ausgelöscht. Wir verstehen die Anfrage, die wir in der Gemeinschaft und im Ökosystem verursachen. Sie haben eine vollständige Chronologie gefunden, um den Kommentar unserer Mitarbeiter und Partner zu lesen.

Wir freuen uns auf Sie!

Pascal Gauthier

-

Sagen Sie die Chronologie dessen, was wir über die aktuelle Ausbeutung gelernt haben:

Heute (CET) wurde ein alter Mitarbeiter von Ledger Opfer eines Phishing-Angriffs und durfte einem Hacker Zugang zu seinem NPMJS-Konto gewähren. Der Hacker hat eine schädliche Version des Ledger Connect Kit veröffentlicht (betroffen sind die Versionen 1.1.5, 1.1.6 und 1.1.7). Der böswillige Code nutzt ein betrügerisches WalletConnect-Projekt, um die Bestände an das Portefeuille eines Hackers weiterzuleiten. Die Sicherheitskräfte von Ledger wurden alarmiert und innerhalb von 40 Minuten nach dem Gewissensbericht von Ledger wurde eine Korrektur vorgenommen. Die Datei wurde etwa fünf Stunden lang aktiviert, aber wir denken, dass das Fenster, nachdem der Fonds geöffnet war, auf nur zwei Stunden begrenzt war. Ledger arbeitet mit WalletConnect zusammen, wodurch das betrügerische Projekt schnell deaktiviert wird. Die authentische und verifizierte Version des Ledger Connect Kit, die Version 1.1.8, wurde nicht mehr weitergegeben und kann unter völliger Sicherheit verwendet werden.

Für die Entwickler, die mit dem Code des Ledger Connect Kit arbeiten: Das Team zur Entwicklung des Connect-Kits für das NPM-Projekt wird normalerweise nur in wenigen Minuten gelesen und kann das NPM-Paket nicht auf sichere Weise leiten. Wir haben die Geheimnisse für die Veröffentlichung auf GitHub von Ledger geändert. Für Entwickler: Überprüfen Sie zunächst, ob Sie die neueste Version, Version 1.1.8, verwenden.

Ledger teilte in Zusammenarbeit mit WalletConnect und unseren Partnern die Adresse des Täters mit. Die Adresse ist möglicherweise nicht auf Chainalysis sichtbar. Tether an den USDT geleert, wenn er missbräuchlich ist.

Wir führen täglich „klare Zeichen“ für Transaktionen mit Ihrem Ledger durch. Das, was Sie auf dem Ledger-Bildschirm sehen, ist das, was Sie unterschreiben. Wenn Sie bereits den ersten Schritt unterschrieben haben, verwenden Sie ein zusätzliches Mint-Ledger-Portfolio oder analysieren Sie Ihre Transaktion manuell. Wir nehmen sofort Kontakt mit den Kunden auf, die nicht über Geld verfügen, bevor sie betroffen sind, und bemühen sich, in diesem Moment proaktiv zu helfen, um ihnen zu helfen. Wir beklagten uns auch und arbeiteten mit den Kräften des Ordens im Kader der Anfrage zusammen, um die Angriffe zurückzudrängen. Darüber hinaus studieren wir die Ausbeutung von Futures-Angriffen. Wir gehen davon aus, dass die Adresse des Angreifers oder der umgeleiteten Bestände der nächste ist: 0x658729879fca881d9526480b82ae00efc54b5c2d

Wir beziehen uns auf WalletConnect, Tether, Chainalysis, Zachxbt und die gesamte Gemeinschaft, die uns hilft und uns weiterhin dabei hilft, diesen Angriff schnell zu identifizieren und zu retten. Die Sicherheit wird stets mit dem Helfer des Ökosystemsystems gewährleistet.

Das Team von Ledger

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit