| 알아 둘 사항 : |
| - 14년 2023월 XNUMX일, Ledger는 웹 사이트를 지갑에 연결하는 Javascript 라이브러리인 Ledger Connect Kit에 대한 익스플로잇을 경험했습니다.
- 업계는 Ledger와 협력하여 익스플로잇을 무력화하고 도난당한 자금을 매우 신속하게 동결하려고 시도했습니다. 익스플로잇은 실제로 XNUMX시간 미만 동안 실행되었습니다. - 이 악용은 현재 조사 중이며 Ledger는 불만 사항을 접수했으며 영향을 받은 개인이 자금을 회수하도록 도울 것입니다. – 이 악용은 Ledger 하드웨어 또는 Ledger Live의 무결성에 영향을 미치지 않았으며 영향을 미치지 않습니다. |
안녕 모두,
오늘 우리는 사용자가 Ledger 장치를 제XNUMX자 DApp(지갑 연결 웹 사이트)에 연결할 수 있도록 하는 버튼을 구현하는 Javascript 라이브러리인 Ledger Connect Kit에 대한 익스플로잇을 경험했습니다.
이 익스플로잇은 전직 직원이 피싱 공격의 피해자가 된 결과로, 악의적인 행위자가 Ledger의 NPMJS(앱 간에 공유되는 Javascript 코드용 패키지 관리자)에 악성 파일을 업로드할 수 있게 되었습니다.
우리는 파트너인 WalletConnect와 함께 신속하게 공격을 해결하고 NPMJS를 업데이트하여 발견 후 40분 이내에 악성 코드를 제거하고 비활성화했습니다. 이는 보안 문제를 해결하기 위해 업계가 신속하게 협력하는 좋은 예입니다.
이제 저는 왜 이런 일이 일어났는지, 앞으로 이 특정 위험을 완화하기 위해 보안 관행을 어떻게 개선할 것인지에 대해 설명하고, 우리가 함께 더 강해질 수 있도록 업계에 권장 사항을 공유하고 싶습니다.
Ledger의 표준 관행은 여러 당사자의 검토 없이는 한 사람이 코드를 배포할 수 없다는 것입니다. 우리는 개발의 대부분 부분에서 강력한 액세스 제어, 내부 검토 및 코드 다중 서명을 갖추고 있습니다. 이는 우리 내부 시스템의 99%에 해당됩니다. 회사를 떠나는 직원은 모든 Ledger 시스템에 대한 액세스 권한이 취소됩니다.
이것은 불행한 고립된 사건이었습니다. 보안은 고정된 것이 아니며 Ledger는 보안 시스템과 프로세스를 지속적으로 개선해야 한다는 점을 상기시켜 줍니다. 이 영역에서 Ledger는 엄격한 소프트웨어 공급망 보안을 구현하는 빌드 파이프라인을 NPM 배포 채널에 연결하여 더 강력한 보안 제어를 구현합니다.
이는 또한 사용자가 브라우저 기반 서명에 참여할 DApp에 대한 보안 기준을 지속적으로 높여야 한다는 점을 상기시켜 줍니다. 이번에 악용된 것은 Ledger의 서비스였지만, 앞으로는 다른 서비스나 라이브러리에서도 이런 일이 일어날 수 있습니다.
Ledger에서는 블라인드 서명이 아닌 명확한 서명이 이러한 문제를 완화하는 데 도움이 될 것이라고 믿습니다. 사용자가 신뢰할 수 있는 디스플레이에서 자신이 서명한 내용을 볼 수 있다면 의도치 않게 악성 거래에 서명하는 것을 방지할 수 있습니다.
원장 장치는 개방형 플랫폼입니다. Ethereum에는 DApp이 명확한 서명을 구현할 수 있도록 하는 플러그인 시스템이 있으며, 사용자를 위해 이러한 보호를 구현하려는 DApp은 방법을 배울 수 있습니다. 개발자.ledger.com에서. 오늘 커뮤니티가 함께 모이는 것과 마찬가지로 모든 DApp에 명확한 서명을 제공하는 데 도움을 주시기를 기대합니다.
Ledger는 당국과 협력하여 이 조사가 진행되는 동안 도움을 주기 위해 최선을 다하고 있습니다. Ledger는 피해를 입은 사용자를 지원하여 이 나쁜 행위자를 찾고, 정의를 실현하고, 자금을 추적하고, 법 집행 기관과 협력하여 해커로부터 훔친 자산을 복구하도록 돕습니다. 우리는 영향을 받은 개인들에게 오늘 발생한 사건들에 대해 깊은 유감을 표합니다.
이제 상황은 통제되고 위협은 사라졌습니다. 우리는 이것이 커뮤니티와 더 넓은 생태계에 야기된 패닉을 이해합니다.
전체 타임라인은 아래에서 확인할 수 있으므로 우리 팀과 파트너가 어떻게 대응했는지 확인할 수 있습니다.
, 감사합니다
파스칼 고티에
회장 겸 CEO
-
현재 이 익스플로잇에 대해 우리가 알고 있는 타임라인은 다음과 같습니다.
오늘 아침 CET에서 전직 Ledger 직원이 NPMJS 계정에 대한 액세스 권한을 얻은 피싱 공격의 희생양이 되었습니다. 공격자는 Ledger Connect Kit의 악성 버전(버전 1.1.5, 1.1.6 및 1.1.7에 영향을 줌)을 게시했습니다. 악성 코드는 악성 WalletConnect 프로젝트를 사용하여 자금을 해커 지갑으로 재전송했습니다. Ledger의 기술 및 보안 팀은 경고를 받았으며 Ledger가 인지한 후 40분 이내에 수정 사항이 배포되었습니다. 악성 파일은 약 5시간 동안 존재했지만 자금이 유출된 기간은 XNUMX시간 미만으로 제한되어 있었던 것으로 보입니다. Ledger는 악성 프로젝트를 신속하게 비활성화한 WalletConnect와 협력했습니다. 정품 및 검증된 Ledger Connect Kit 버전 1.1.8이 현재 전파되고 있으며 사용하기에 안전합니다.
Ledger Connect Kit 코드를 개발하고 상호 작용하는 빌더의 경우: NPM 프로젝트의 연결 키트 개발 팀은 이제 읽기 전용이며 안전상의 이유로 NPM 패키지를 직접 푸시할 수 없습니다. 우리는 Ledger의 GitHub에 게시하기 위해 비밀을 내부적으로 교체했습니다. 개발자 여러분, 최신 버전인 1.1.8을 사용하고 있는지 다시 한번 확인해 주시기 바랍니다.
Ledger는 WalletConnect 및 파트너와 함께 악의적인 행위자의 지갑 주소를 보고했습니다. 이제 주소가 Chainalytic에 표시됩니다. 테더는 악의적인 행위자의 USDT를 동결시켰습니다.
사용자는 항상 Ledger로 서명을 삭제해야 합니다. Ledger 화면에 보이는 내용이 실제로 서명한 내용입니다. 여전히 블라인드 서명이 필요한 경우 추가 Ledger 민트 지갑을 사용하거나 거래를 수동으로 구문 분석하세요. 우리는 자금에 영향을 받았을 수 있는 고객과 적극적으로 대화하고 있으며 현재 이러한 개인을 돕기 위해 적극적으로 노력하고 있습니다. 우리는 또한 고소장을 제출하고 법 집행 기관과 협력하여 공격자를 찾기 위한 조사를 진행하고 있습니다. 또한 추가 공격을 피하기 위해 익스플로잇을 연구하고 있습니다. 자금이 유출된 공격자의 주소는 다음과 같습니다: 0x658729879fca881d9526480b82ae00efc54b5c2d
이 공격을 신속하게 식별하고 해결하는 데 도움을 주고 지속적으로 도와주신 WalletConnect, Tether, Chainalytic, zachxbt 및 전체 커뮤니티에 감사드립니다. 보안은 항상 전체 생태계의 도움으로 승리할 것입니다.
원장 팀
버전 프랑스어:
Un Message de Pascal Gauthier, Ledger Connect Kit의 sur l'exploitation du Ledger 회장 겸 CEO
| 키 포인트: |
| – 14년 2023월 XNUMX일, Ledger는 Ledger Connect Kit의 악용에 직면해 있으며, 암호화폐 웹에 있는 사이트 연결에 사용할 수 있는 도서관 자바스크립트입니다.
– L'industrie a collaboré avec Ledger pour neutraliser l'exploitation et tenter de geler rapidement lesfounds volés – l'exploitation a eu lieu durant moins de deux heures. – 조사 과정에서 Cette 착취가 실행됩니다. Ledger a déposé des plaintes et s'efforcera d'aider les personnes Affectées à récupérer leurs 좋아합니다. – Cette 착취 n'a pas Affecté et n'affecte pas la sécurité des portefeuilles Physiques Ledger ni de Ledger Live. – L'exploitation étaitlimitée 보조 애플리케이션 분산화 계층은 매우 유용한 Ledger Connect Kit입니다. |
봉쥬르 à tous 달려,
Aujourd'hui는 Ledger Connect Kit의 악용과 직면하고 있으며, Javascript 통합과 함께 Ledger 장치의 응용 프로그램 분산 계층에 대한 연결 장치 영구 보조 유틸리티를 제공합니다.
이 상황은 피싱 공격으로 인해 고용된 직원이 피싱 공격을 받고 있는 상황이며, NPMJS de Ledger에 대한 악의적인 악성 행위자 및 악성 코드로 인해 발생하는 행위입니다. (코드 Javascript 부분 전체 응용 프로그램에 대한 패키지 관리) .
Notre 반응은 빠른 속도와 조정을 통해 Notre partenaire WalletConnect에서 해결 방법을 제공합니다. Dans les 40분 소요 아들 식별, nous avons mis à jour le NPMJS pour éliminer et désactiver le code Malveillant. Cet épisode témoigne de l'efficacité de l'industrie travaillant de Concert pour surmonter d'importants défis de sécurité.
유지 관리 담당자의 이유와 설명은 nous renforcerons nos pratiques de sécurité pour atténuer ce risque spécifique à l’avenir에 대해 설명합니다. Nous partageons également nos recommandations avec l'industrie pour renforcer notre Collaboration.
Chez Ledger, la norme de sécurité stipule qu'aucune personne seule ne peut déployer du code sans qu'il soit Examiné par plusieurs party, une pratique appliquée dans 99% de nos system internes. 게다가, 직원이 회사를 그만두고 시스템 Ledger에 액세스했다고 선전합니다.
Cet 사건, Malheureux et isolé, souligne que la sécurité est en Constante évolution, nécessitant une amélioration continue de nos systèmes. Dans ce contexte, Ledger mettra en place des contrôles de sécurité renforcés, liant notre chaîne de construction qui applique une sécurité stricte de la chaîne d'approvisionnement au canal de distribution NPM.
Il est également rappelé que Collectment, nous devons élevers les normes de sécurité autour des apps décentralisées (DApps) ou les utilisateurs interagissent avec des Signatures basées sur le Naviur. Bien que cette fois-ci ce soit le service de Ledger qui a étéExploéé, cela pourrait se produire à l'avenir avec un autre service ou bibliothèque.
Chez Ledger는 명확한 서명과 블라인드 서명을 통해 Atténuer ces 문제를 효과적으로 서명할 수 있는 방법을 제시합니다. Si l'utilisateur peut voir ce qu'il signe sur un écran de confiance, la 서명 involontaire de transaction 사기는 pourra toujours être évitée를 사용합니다.
Les appareils Ledger sont des plate-formes ouvertes. 이더리움은 명확한 서명을 위한 영구 보조 DApp 구현 플러그인 시스템을 제공합니다. Les développeurs intéressés peuvent en savoir plus 개발자.ledger.com에서 확인하세요.. Tout comme nous avons vu la communauté se mobiliser aujourd'hui, nous 참석자 votre aide pour intégrer le Clear-signing à toutes les DApps.
Ledger coopère avec les autorités et prend는 les mesuresposables pour aider dans l'enquête en cours를 홍보합니다. Nous soutiendrons les utilisateurs Affectés en identifiant l'acteur misalveillant, en le traduisant en Justice, en retrouvant lesfounds et en colaborant avec les force de l'ordre pour récupérer les actifs volés. Nous Regrettons profondément les événements d'aujourd'hui pour les personnes touchées.
La 상황은 sous contrôle, la menace écartée를 유지하는 데 가장 중요합니다. Nous comprenons l'inquiétude que cela a pu causer dans la communauté et l'écosystème. Vous trouverez ci-dessous une chronologie complète pour voir comment nos équipes et partenaires ont réagi.
, 감사합니다
파스칼 고티에
-
Voici la chronologie de ce que nous savons sur l'exploitation à l'heure actuelle:
CET(Ce matin, (CET))는 Ledger의 고대 직원이자 NPMJS 회사의 해커 공격에 대한 허가로 인해 피싱 공격의 피해자가 되었습니다. Ledger Connect Kit의 공개 버전인 해커가 있습니다(영향을 주는 버전 1.1.5, 1.1.6 및 1.1.7). 이 코드는 해커의 Portefeuille D'un Projet WalletConnect 사기를 악용하는 코드입니다. Les équipes de sécurité de Ledger ont été Alertées 및 été déployée dans les équipes de sécurité de Ledger는 40분 동안 Ledger의 양심상을 수상했습니다. Le fichier Malveillant était actif 펜던트 환경 5 heures, mais nous pensons que la fenêtre 펜던트 laquelle lesfounds ont été détournés étaitlimitée à moins de deux heures. WalletConnect와 협력하여 사기 프로젝트에 대한 신속한 대응을 원장합니다. Ledger Connect Kit의 인증 및 검증 버전, 버전 1.1.8, est désormais en propagation et peut être utilisée en toute sécurité.
Ledger Connect Kit의 travaillent sur le 코드를 따르십시오: l'équipe de developpement du connect-kit sur le projet NPM est désormais en 강의 seule et ne peut pas pousser directement le package NPM par mesure de sécurité. 이제 GitHub de Ledger의 출판물에 비밀이 변경되었습니다. Pour les développeurs: veuillez vérifier à nouveau que vous utilisez la dernière 버전, la 1.1.8.
Ledger는 WalletConnect et nos partenaires와 협력하여 신호 주소인 portefeuille du malfaiteur를 제공합니다. L'adresse est désormais는 Chainalytic에 표시됩니다. 악성 코드로 USDT를 테더링하세요.
Nous rappelons aux utilisateurs de toujours의 "명확한 서명"은 거래 원장을 통해 이루어집니다. Ce que vous voyez sur l'écran de Ledger est ce que vous signez réellement. Si vous devez toujours signer de manière aveugle, portefeuille mint 원장 보충 자료 또는 거래 관리 분석을 활용하세요. Nous sommes en contact actif avec les 클라이언트는 적극적으로 도움을 주는 순간을 따르지 않습니다. Nous déposons également une plainte et Collaborons avec les force de l'ordre dans le cadre de l'enquête pour retrouver l'attaqun. 게다가, 미래 공격에 대한 착취에 대한 연구도 있습니다. Nous pensons que l'adresse de l'attaguan où les fonds ont été détournés est la suivante : 0x658729879fca881d9526480b82ae00efc54b5c2d
새로운 기능은 WalletConnect, Tether, Chainalytic, zachxbt et toute la communauté qui nous ont aidés 및 지속적인 지원 기능과 식별자 신속성 및 résoudre cette attaque를 포함합니다. La sécurité prévaudra toujours avec l'aide de l'ensemble de l'écosystème.
레퀴프 드 레저(L'équipe de Ledger)
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit
