Hej allihopa,

Idag upplevde vi ett utnyttjande på Ledger Connect Kit, ett Javascript-bibliotek som implementerar en knapp som tillåter användare att ansluta sin Ledger-enhet till tredje parts DApps (plånboksanslutna webbplatser).

Detta utnyttjande var resultatet av att en före detta anställd blev offer för en nätfiskeattack, vilket gjorde det möjligt för en dålig skådespelare att ladda upp en skadlig fil till Ledgers NPMJS (en pakethanterare för Javascript-kod som delas mellan appar).

Vi arbetade snabbt, tillsammans med vår partner WalletConnect, för att ta itu med exploateringen, och uppdaterade NPMJS för att ta bort och inaktivera den skadliga koden inom 40 minuter efter upptäckten. Det här är ett bra exempel på att branschen arbetar snabbt tillsammans för att ta itu med säkerhetsutmaningar. 

Nu skulle jag vilja ta upp varför detta hände, hur vi kommer att förbättra vår säkerhetspraxis för att minska denna specifika risk i framtiden, och dela vår rekommendation till branschen, så att vi kan bli starkare tillsammans.

Standardpraxis på Ledger är att ingen enskild person kan distribuera kod utan granskning av flera parter. Vi har starka åtkomstkontroller, interna granskningar och kodmultisignaturer när det kommer till de flesta delar av vår utveckling. Detta är fallet i 99 % av våra interna system. Alla anställda som lämnar företaget får sin åtkomst återkallad från alla Ledger-system.

Detta var en olycklig isolerad incident. Det är en påminnelse om att säkerheten inte är statisk, och Ledger måste kontinuerligt förbättra våra säkerhetssystem och processer. Inom detta område kommer Ledger att implementera starkare säkerhetskontroller och koppla ihop vår byggpipeline som implementerar strikt mjukvaruförsörjningskedjans säkerhet till NPM:s distributionskanal.

Det är också en påminnelse om att vi gemensamt måste fortsätta att höja ribban för säkerhet kring DApps där användare kommer att engagera sig i webbläsarbaserad signering. Det var Ledgers tjänst som utnyttjades denna gång, men i framtiden kan detta hända med en annan tjänst eller bibliotek.

På Ledger tror vi att tydlig signering, i motsats till blind signering, kommer att hjälpa till att lindra dessa problem. Om användaren kan se vad de signerar på en betrodd skärm, kan oavsiktligt signera oseriösa transaktioner undvikas.

Ledger-enheter är öppna plattformar. Ethereum har ett plugin-system som tillåter DApps att implementera tydlig signering, och DApps som vill implementera detta skydd för sina användare kan lära sig hur på developer.ledger.com. På samma sätt som vi såg gemenskapen samlas idag ser vi fram emot din hjälp med att ge tydlig signering till alla DApps.

Ledger har kontaktat myndigheterna och gör allt vi kan för att hjälpa till när den här utredningen utvecklas. Ledger kommer att stödja berörda användare att hjälpa till att hitta den här dåliga skådespelaren, ställa dem inför rätta, spåra pengar och arbeta med brottsbekämpning för att hjälpa till att återställa stulna tillgångar från hackaren. Vi beklagar djupt de händelser som utspelade sig idag för drabbade individer. 

Situationen är nu under kontroll och hotet har passerat. Vi förstår paniken detta orsakade för samhället och det bredare ekosystemet. 

En fullständig tidslinje är tillgänglig nedan så att du kan se hur våra team och partners svarade.

tack,
Pascal Gauthier

Styrelseordförande & CEO

-

Här är tidslinjen för vad vi vet om exploateringen just nu:

I morse CET föll en före detta Ledger Employee offer för en nätfiskeattack som fick tillgång till deras NPMJS-konto. Angriparen publicerade en skadlig version av Ledger Connect Kit (som påverkar versionerna 1.1.5, 1.1.6 och 1.1.7). Den skadliga koden använde ett oseriöst WalletConnect-projekt för att omdirigera pengar till en hackerplånbok. Ledgers teknik- och säkerhetsteam larmades och en fix implementerades inom 40 minuter efter att Ledger blev medveten. Den skadliga filen var aktiv i cirka 5 timmar, men vi tror att fönstret där pengar tömdes var begränsat till en period på mindre än två timmar. Ledger samordnas med WalletConnect som snabbt inaktiverade det oseriösa projektet. Den äkta och verifierade Ledger Connect Kit version 1.1.8 sprids nu och är säker att använda.

För byggare som utvecklar och interagerar med Ledger Connect Kit-koden: connect-kit-utvecklingsteamet på NPM-projektet är nu skrivskyddat och kan inte direkt pusha NPM-paketet av säkerhetsskäl. Vi har internt roterat hemligheterna för att publicera på Ledgers GitHub. Utvecklare, kontrollera igen att du använder den senaste versionen, 1.1.8.

Ledger, tillsammans med WalletConnect och våra partners, har rapporterat den dåliga skådespelarens plånboksadress. Adressen är nu synlig på Chainalysis. Tether har fryst den dåliga skådespelarens USDT.

Vi påminner användare att alltid rensa tecken med din reskontra. Det du ser på Ledger-skärmen är vad du faktiskt signerar. Om du fortfarande behöver blindsignera, använd en extra Ledger mint-plånbok eller analysera din transaktion manuellt. Vi pratar aktivt med kunder vars pengar kan ha påverkats och arbetar proaktivt för att hjälpa dessa individer just nu. Vi lämnar också in ett klagomål och arbetar med brottsbekämpande myndigheter i utredningen för att hitta angriparen. Utöver det studerar vi utnyttjandet för att undvika ytterligare attacker. Vi tror att angriparens adress där pengarna tömdes är här: 0x658729879fca881d9526480b82ae00efc54b5c2d

Vi vill tacka WalletConnect, Tether, Chainalysis, zachxbt och hela gemenskapen som hjälpte oss och fortsätter att hjälpa oss att snabbt identifiera och lösa denna attack. Säkerheten kommer alltid att råda med hjälp av hela ekosystemet.

Ledger-teamet

Version française:

Un Message de Pascal Gauthier, styrelseordförande och VD de Ledger, sur l’exploitation du Ledger Connect Kit

Hej alla,

Aujourd’hui, nus avons eté konfronteras med en exploatering av Ledger Connect Kit, en bibliothèque Javascript intégrant un bouton permettant aux utilisateurs de connecter leur appareil Ledger à des applications décentralisées tierces.

Cette situation est liée au fait qu'un ancien employé a été victime d'une attaque de phishing, permettant à un acteur malveillant de télécharger un fichier malveillant sur le NPMJS de Ledger (un gestionnaire de packages pour le code Javascript application partagé entre les .

Notre réaction a été rapide et coordonnée avec notre partenaire WalletConnect pour remédier à la situation. Dans les 40 minuter efter son identifiering, nous avons miss à jour le NPMJS pour éliminer et désactiver le code malveillant. Cet épisode témoigne de l’efficacité de l’industrie travaillant de concert pour surmonter d’importants défis de sécurité.

Abordons maintenant les raisons de cet incident et expliquons comment nous renforcerons nos pratiques de sécurité pour atténuer ce risque spécifique à l’avenir. Nous partageons également nos recommandations avec l’industrie pour renforcer notre samarbete.

Chez Ledger, la norme de sécurité stipule qu'aucune personne seule ne peut déployer du code sans qu'il soit examiné par plusieurs parties, une pratique appliquée dans 99% de nos systèmes internes. De plus, tout anställd sluta l'entreprise voit son accès révoqué de tous les systèmes Ledger.

Cet incident, malheureux et isolé, souligne que la sécurité est en constante evolution, nécessitant une amélioration continue de nos system. Dans ce contexte, Ledger mettra en place des contrôles de sécurité renforcés, liant notre chaîne de construction qui applique une sécurité strikt de la chaîne d'approvisionnement au canal de distribution NPM.

Il est également rappelé que collectivement, nous devons élever les normes de sécurité autour des applications décentralisées (DApps) où les utilisateurs interagissent avec des signatures basées sur le navigateur. Bien que cette fois-ci ce soit le service de Ledger qui a été exploité, cela pourrait se produire à l'avenir avec un autre service ou bibliothèque.

Chez Ledger, nous croyons en l’efficacité du clear-signing par rapport au blind-signing pour atténuer ces problèmes. Si l’utilisateur peut voir ce qu’il signe sur un écran de confiance, la signature involontaire de transaktioner frauduleuses pourra toujours être évitée.

Les appareils Ledger sont des plates-formes ouvertes. Ethereum erbjuder ett system för plugin-program som är permanenta för DApps d'implementer för clear-signing. Les développeurs intéressés peuvent en savoir plus på developer.ledger.com. Tout comme nous avons vu la communauté se mobiliser aujourd'hui, nous attendons votre aide pour intégrer le clear-signing à toutes les DApps.

Ledger coopère avec les autorités et prend toutes les mesures possibles pour aider dans l'enquête en cours. Nous soutiendrons les utilisateurs affectés en identifiant l'acteur malveillant, en le traduisant en justice, en retrouvant les fonds et en collaborant avec les forces de l'ordre pour récupérer les actifs volés. Nous regrettons profondément les événements d'aujourd'hui pour les personnes touchées.

Situationen är underhållaren så att du kontrollerar, hotet är ecartée. Nous comprenons l’inquiétude que cela a pu causer dans la communauté et l’écosystème. Vous trouverez ci-dessous une chronologie complète pour voir comment nos équipes et partenaires ont réagi.

tack,

Pascal Gauthier

-

Voici la chronologie de ce que nous savons sur l'exploitation à l'heure actuelle:

Ce matin, (CET), un ancien employé de Ledger a été victime d’une attack de phishing qui a permis à un hacker d’accéder à son compte NPMJS. Hackaren har publicerat en malveillante version av Ledger Connect Kit (som påverkar versionerna 1.1.5, 1.1.6 och 1.1.7). Code malveillant utilisait un projet WalletConnect frauduleux pour rediriger les fonds vers le portefeuille d’un hacker. Les équipes de sécurité de Ledger ont été alertées, et une correction a été déployée dans les 40 minutes suivant la prize de conscience par Ledger. Le fichier malveillant était actif hänge environ 5 heures, mais nous pensons que la fenêtre hänge laquelle les fonds ont été détournés était limitée à moins de deux heures. Ledger ett samarbete med WalletConnect, vilket gör att bedrägeriprojektet snabbt blir aktivt. Version authentique et vérifiée du Ledger Connect Kit, version 1.1.8, est désormais en propagation et peut être utilisée en toute sécurité.

Pour les développeurs qui travaillent sur le code du Ledger Connect Kit: l’équipe de développement du connect-kit sur le projet NPM est désormais en lecture seule et ne peut pas pousser directement le package NPM par mesure de sécurité. Nous avons changé les secrets pour la publication sur GitHub de Ledger. Pour les développeurs: veuillez vérifier à nouveau que vous utilisez la dernière version, la 1.1.8.

Ledger, i samarbete med WalletConnect och inga partners, en signal till portefeuille du malfaiteur. L’adressen est désormais visible sur Chainalysis. Tether a gelé les USDT du malfaiteur.

Nous rappelons aux utilisateurs de toujours "clear sign" för transaktioner med votre Ledger. Ce que vous voyez sur l’écran de Ledger est ce que vous signez réellement. Si vous devez toujours signer de manière aveugle, usez un portefeuille mint Ledger supplémentaire eller analysz votre transaktion manuellement. Nous sommes en contact actif avec les clients dont les fonds pourraient avoir été affectés et travaillons de manière proactive pour les aider en ce moment. Nous déposons également une plainte et collaborons avec les forces de l'ordre dans le cadre de l'enquête pour retrouver l'attaquant. De plus, nous étudions l'exploitation afin d'éviter de futures attacks. Nous pensons que l'adresse de l'attaquant où les fonds ont été détournés est la suivante : 0x658729879fca881d9526480b82ae00efc54b5c2d

Nous tenons à remercier WalletConnect, Tether, Chainalysis, zachxbt et toute la communauté qui nous ont aidés et continunt de nous aider à identifier rapidement et à résoudre cette attaque. La sécurité prévaudra toujours avec l’aide de l’ensemble de l’écosystème.

L'équipe de Ledger

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit