Привет всем,

Сегодня мы столкнулись с эксплойтом в Ledger Connect Kit, библиотеке Javascript, которая реализует кнопку, позволяющую пользователям подключать свое устройство Ledger к сторонним DApps (веб-сайтам, подключенным к кошельку).

Этот эксплойт стал результатом того, что бывший сотрудник стал жертвой фишинговой атаки, которая позволила злоумышленнику загрузить вредоносный файл в NPMJS Ledger (менеджер пакетов для кода Javascript, совместно используемого приложениями).

Вместе с нашим партнером WalletConnect мы быстро поработали над устранением эксплойта, обновив NPMJS для удаления и деактивации вредоносного кода в течение 40 минут после обнаружения. Это хороший пример того, как отрасль быстро работает вместе для решения проблем безопасности. 

Теперь я хотел бы рассказать, почему это произошло, как мы будем совершенствовать наши методы обеспечения безопасности, чтобы снизить этот конкретный риск в будущем, и поделиться нашими рекомендациями с отраслью, чтобы вместе мы могли стать сильнее.

Стандартная практика в Ledger заключается в том, что ни один человек не может развертывать код без проверки несколькими сторонами. У нас есть строгий контроль доступа, внутренние проверки и мультиподписи кода, когда дело касается большинства частей нашей разработки. Так обстоит дело в 99% наших внутренних систем. Любой сотрудник, покидающий компанию, лишается доступа ко всем системам Ledger.

Это был досадный единичный инцидент. Это напоминание о том, что безопасность не является статичной, и Ledger должен постоянно совершенствовать наши системы и процессы безопасности. В этой области Ledger внедрит более строгий контроль безопасности, подключив наш конвейер сборки, который обеспечивает строгую безопасность цепочки поставок программного обеспечения, к каналу распространения NPM.

Это также напоминание о том, что коллективно нам необходимо продолжать поднимать планку безопасности вокруг DApps, где пользователи будут подписываться через браузер. На этот раз подвергся эксплуатации сервис Ledger, но в будущем это может случиться и с другим сервисом или библиотекой.

Мы в Ledger считаем, что четкое подписание, а не слепое подписание, поможет смягчить эти проблемы. Если пользователь может видеть то, что он подписывает, на доверенном дисплее, можно избежать непреднамеренного подписания мошеннических транзакций.

Устройства Ledger — это открытые платформы. В Ethereum есть система плагинов, которая позволяет DApps реализовывать четкую подпись, и DApps, которые хотели бы реализовать эту защиту для своих пользователей, могут узнать, как это сделать. на сайте Developer.ledger.com.. Точно так же, как сегодня мы увидели, как сообщество собралось вместе, мы с нетерпением ждем вашей помощи в обеспечении четкой подписи для всех DApps.

Леджер связался с властями и делает все возможное, чтобы помочь в ходе расследования. Ledger будет поддерживать пострадавших пользователей, помогая найти злоумышленника, привлечь его к ответственности, отслеживать средства и сотрудничать с правоохранительными органами, чтобы помочь вернуть украденные хакером активы. Мы глубоко сожалеем о событиях, которые произошли сегодня для пострадавших людей. 

Сейчас ситуация находится под контролем, угроза миновала. Мы понимаем панику, которую это вызвало для сообщества и экосистемы в целом. 

Полный график доступен ниже, чтобы вы могли увидеть, как отреагировали наши команды и партнеры.

спасибо,
Паскаль Готье

Председатель и генеральный директор

-

Вот график того, что мы знаем об эксплойте на данный момент:

Сегодня утром CET бывший сотрудник Ledger стал жертвой фишинговой атаки, которая получила доступ к его учетной записи NPMJS. Злоумышленник опубликовал вредоносную версию Ledger Connect Kit (затрагивает версии 1.1.5, 1.1.6 и 1.1.7). Вредоносный код использовал мошеннический проект WalletConnect для перенаправления средств на хакерский кошелек. Команды технологий и безопасности Ledger были предупреждены, и исправление было внедрено в течение 40 минут после того, как Ledger узнал об этом. Вредоносный файл существовал около 5 часов, однако мы полагаем, что период слива средств был ограничен менее чем двумя часами. Ledger координировал свои действия с WalletConnect, которые быстро отключили мошеннический проект. Подлинный и проверенный комплект Ledger Connect Kit версии 1.1.8 сейчас распространяется и безопасен в использовании.

Для разработчиков, которые разрабатывают код Ledger Connect Kit и взаимодействуют с ним: команда разработчиков Connect-Kit в проекте NPM теперь доступна только для чтения и не может напрямую распространять пакет NPM по соображениям безопасности. Мы произвели внутреннюю ротацию секретов и опубликовали их на GitHub Ledger. Разработчики, пожалуйста, проверьте еще раз, что вы используете последнюю версию — 1.1.8.

Ledger вместе с WalletConnect и нашими партнерами сообщили адрес кошелька злоумышленника. Адрес теперь виден на Chainaанализе. Tether заморозил USDT злоумышленника.

Мы напоминаем пользователям всегда очищать свою учетную запись. То, что вы видите на экране Ledger, — это то, что вы на самом деле подписываете. Если вам все еще нужно подписывать вслепую, используйте дополнительный кошелек Ledger Mint или проанализируйте транзакцию вручную. Мы активно общаемся с клиентами, чьи средства могли быть затронуты, и активно работаем над тем, чтобы помочь этим людям в настоящее время. Мы также подаем жалобу и работаем с правоохранительными органами над расследованием, чтобы найти злоумышленника. Кроме того, мы изучаем эксплойт, чтобы избежать дальнейших атак. Мы считаем, что адрес злоумышленника, с которого были слиты средства, находится здесь: 0x658729879fca881d9526480b82ae00efc54b5c2d.

Мы хотели бы поблагодарить WalletConnect, Tether, Chainaанализ, zachxbt и все сообщество, которое помогло нам и продолжает помогать нам быстро выявить и устранить эту атаку. Безопасность всегда будет преобладать с помощью всей экосистемы.

Команда Леджера

Французская версия:

Послание Паскаля Готье, председателя и генерального директора Ledger, об использовании комплекта Ledger Connect

Bonjour à Туа,

Сегодня мы столкнулись с эксплуатацией Ledger Connect Kit, библиотекой, интегрированной с Javascript, которая позволяет пользователям подключаться к устройству Ledger к децентрализованным приложениям.

Эта ситуация похожа на то, что старый сотрудник является жертвой фишинговой атаки, что позволяет злоумышленнику телефонного заряда и вредоносному коду на NPMJS в Ledger (указание пакетов для кода Javascript, разделяемого между приложениями) .

Это быстрая и скоординированная реакция с партнером WalletConnect для исправления ситуации. В течение 40 минут после идентификации сына мы предпочитаем использовать NPMJS для устранения и деактивации вредоносного кода. Это временной эпизод эффективности производственной работы на концерте для наблюдения за важными вопросами безопасности.

Отбрасываются причины этого инцидента и пояснения к комментариям, которые мы применяем для обеспечения безопасности, чтобы ослабить этот специфический риск для жизни. Мы разделяем наши рекомендации с промышленностью для укрепления сотрудничества.

Chez Ledger, норма безопасности, в которой каждый человек не может развернуть код без проверки на дополнительных сторонах, является практическим применением в 99% наших внутренних систем. Кроме того, все сотрудники, выходящие из предприятия, получают доступ ко всем системам Ledger.

Этот инцидент, несчастный и изолированный, означает, что безопасность находится в постоянной эволюции, и необходимо продолжать улучшение наших систем. В этом контексте Ledger находится на месте усиленного контроля безопасности, где находится цепочка строительства, которая применяет строгую безопасность цепочки одобрения или канала распределения NPM.

Это единый коллектив, мы разработали нормы безопасности для децентрализованных приложений (DApps) или взаимодействующих пользователей с базовыми подписями в навигации. Если это так, то, что служба Ledger, которую вы эксплуатируете, позволяет вам создавать условия для других услуг или библиотеки.

Chez Ledger, мы знаем, насколько эффективно будет четкое подписание для взаимопонимания или слепого подписания, чтобы смягчить эти проблемы. Если пользователь может увидеть, что он подпишется на экране доверия, невольная подпись мошенников в транзакциях приведет к тому, что вы уйдете.

Les Appareils Ledger — это открытые тарелки. Ethereum предлагает систему плагинов, позволяющую реализовать DApps с четкой подписью. Les developpeurs intéressés peuvent en savoir plus на сайте Developer.ledger.com. Если мы хотим, чтобы сообщество мобилизовало вас, мы будем помогать вам интегрировать четкую подпись во всех DApps.

Ledger сотрудничает с авторитарными органами и принимает все возможные меры для помощи в ходе переговоров. Мы поддерживаем пользователей, которые определяют злонамеренного деятеля, трудятся в сфере правосудия, возвращают фонды и сотрудничают с силами порядка для восстановления полевых действий. Мы сожалеем, что глубоко углубились в события, происходящие в ожуре для трогательных людей.

Ситуация находится под контролем, угроза скрыта. Мы понимаем беспокойство, которое может стать причиной в сообществе и экосистеме. Vous trouverez ci-dessous une Chronologie Complete for voir comment nos équipes et partenaires ont réagi.

спасибо,

Паскаль Готье

-

Вот хронология того, что мы знаем об эксплуатации в настоящий момент:

Утром (CET) старый сотрудник Ledger стал жертвой фишинговой атаки, которая позволила хакеру получить доступ к сыну, владеющему NPMJS. Хакер опубликовал вредоносную версию Ledger Connect Kit (затрагивает версии 1.1.5, 1.1.6 и 1.1.7). Вредоносный код использует мошеннический проект WalletConnect для перенаправления средств и хакерского портфеля. Оборудование для обеспечения безопасности Ledger было предупреждено, и исправление было развернуто в течение 40 минут после получения приза совести от Ledger. Le fichier Malveillant était actif кулон в течение 5 часов, но больше всего мы думаем о том, что кулон laquelle les Fonds ont été détournés était ограничен в течение двух часов. Ledger совместно с WalletConnect, который позволяет быстро деактивировать мошеннические проекты. Аутентичная и проверенная версия Ledger Connect Kit, версия 1.1.8, деформирована при распространении и может использоваться в полной безопасности.

Для разработчиков, которые работают над кодом Ledger Connect Kit: оборудование для разработки Connect-Kit для проекта NPM деформировано на лекциях и не может быть направлено на пакет NPM для обеспечения безопасности. Мы хотим изменить секреты для публикации на GitHub de Ledger. Для разработчиков: выберите новую версию, которую вы используете более позднюю версию, 1.1.8.

Ledger, в сотрудничестве с WalletConnect и нашими партнерами, сигнализирует об адресе портфеля о неисправности. L'adresse est désormais виден при Chainaанализе. Привяжите к неисправному USDT.

Мы спускаемся к пользователям товаров «четкий знак» для транзакций с вашей бухгалтерской книгой. То, что вы voyez sur l'écran de Ledger, - это то, что вы подписываете заново. Если вы разработали подходящую подпись, используйте дополнительный портфель для монетного двора или анализируйте управление транзакциями. Мы иногда действуем в контакте с клиентами, которые не заботятся о том, чтобы они были аффектами и трудами, активными для оказания помощи в данный момент. Наши депозиты равны и сотрудничают с силами Ордена в кадрах для восстановления атакующих. Кроме того, мы изучаем эксплуатацию будущих атак. Мы думаем, что адрес получателя или фонды, которые находятся в пути, - это suivante: 0x658729879fca881d9526480b82ae00efc54b5c2d

Мы поддерживаем связь с WalletConnect, Tether, Chainaанализ, zachxbt и все, что связано с нами, которые помогают нам и продолжают помогать нам в быстром идентификаторе и в ответ на эту атаку. Безопасность будет обеспечена с помощью помощника ансамбля экосистемы.

Экипировка Леджера

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit