Merhaba herkes,

Bugün, kullanıcıların Ledger cihazlarını üçüncü taraf DApp'lere (cüzdan bağlantılı Web siteleri) bağlamasına olanak tanıyan bir düğme uygulayan bir Javascript kütüphanesi olan Ledger Connect Kit'te bir istismarla karşılaştık.

Bu istismar, eski bir çalışanın, kötü niyetli bir kişinin Ledger'in NPMJS'sine (uygulamalar arasında paylaşılan Javascript kodu için bir paket yöneticisi) kötü amaçlı bir dosya yüklemesine olanak tanıyan bir kimlik avı saldırısının kurbanı olmasının sonucuydu.

Kötü amaçlı kodun keşfedilmesinden sonraki 40 dakika içinde kaldırılması ve devre dışı bırakılması için NPMJS'yi güncelleyerek, ortağımız WalletConnect ile birlikte bu açığı gidermek için hızlı bir şekilde çalıştık. Bu, güvenlik sorunlarını çözmek için sektörün hızlı bir şekilde birlikte çalışmasına iyi bir örnektir. 

Şimdi bunun neden olduğunu, gelecekte bu özel riski azaltmak için güvenlik uygulamalarımızı nasıl geliştireceğimizi ele almak ve birlikte daha güçlü olabilmemiz için sektöre önerilerimizi paylaşmak istiyorum.

Ledger'daki standart uygulama, tek bir kişinin birden fazla tarafın incelemesi olmadan kodu dağıtamamasıdır. Geliştirme sürecimizin çoğu bölümünde güçlü erişim kontrollerimiz, dahili incelemelerimiz ve çoklu imza kodlarımız var. İç sistemlerimizin %99'unda durum böyledir. Şirketten ayrılan herhangi bir çalışanın tüm Defter sistemlerinden erişimi iptal edilir.

Bu talihsiz münferit bir olaydı. Güvenliğin statik olmadığını ve Ledger'ın güvenlik sistemlerimizi ve süreçlerimizi sürekli olarak iyileştirmesi gerektiğini hatırlatmak isteriz. Bu alanda Ledger, sıkı yazılım tedarik zinciri güvenliği uygulayan yapı hattımızı NPM dağıtım kanalına bağlayarak daha güçlü güvenlik kontrolleri uygulayacak.

Bu aynı zamanda, kullanıcıların tarayıcı tabanlı imzalamayla meşgul olacağı DApp'lerin güvenliği için toplu olarak çıtayı yükseltmeye devam etmemiz gerektiğini de hatırlatıyor. Bu kez Ledger'ın hizmeti istismar edildi ancak gelecekte bu durum başka bir hizmetin veya kütüphanenin başına da gelebilir.

Ledger olarak, kör imzalamanın aksine net imzalamanın bu sorunları azaltmaya yardımcı olacağına inanıyoruz. Kullanıcı neyi imzaladığını güvenilir bir ekranda görebilirse, yanlışlıkla hileli işlemlere imza atılması önlenebilir.

Defter cihazları açık platformlardır. Ethereum, DApp'lerin net imzalama uygulamasına olanak tanıyan bir eklenti sistemine sahiptir ve bu korumayı kullanıcıları için uygulamak isteyen DApp'ler, bunun nasıl yapılacağını öğrenebilirler Developer.ledger.com'da. Topluluğun bugün bir araya geldiğini gördüğümüz gibi, tüm DApp'lere net imzalar getirmek için yardımınızı bekliyoruz.

Ledger yetkililerle temasa geçti ve bu soruşturma ilerledikçe yardımcı olmak için elimizden geleni yapıyoruz. Ledger, etkilenen kullanıcıları bu kötü aktörün bulunmasına, adalete teslim edilmesine, fonların takip edilmesine ve çalınan varlıkların hackerdan kurtarılmasına yardımcı olmak için kolluk kuvvetleriyle birlikte çalışmasına yardımcı olacak. Etkilenen bireyler açısından bugün ortaya çıkan olaylardan derin üzüntü duyuyoruz. 

Durum şu anda kontrol altında ve tehdit geçti. Bunun topluluk ve daha geniş ekosistem için yarattığı paniği anlıyoruz. 

Ekiplerimizin ve ortaklarımızın nasıl yanıt verdiğini görebilmeniz için aşağıda tam bir zaman çizelgesi mevcuttur.

Teşekkür ederim
Pascal Gauthier

Başkan

-

Şu anda istismar hakkında bildiklerimizin zaman çizelgesi:

Bu sabah eski bir Defter Çalışanı olan CET, NPMJS hesaplarına erişim sağlayan bir kimlik avı saldırısının kurbanı oldu. Saldırgan, Ledger Connect Kit'in kötü amaçlı bir sürümünü yayınladı (1.1.5, 1.1.6 ve 1.1.7 sürümlerini etkiliyor). Kötü amaçlı kod, fonları bir hacker cüzdanına yönlendirmek için hileli bir WalletConnect projesi kullandı. Ledger'in teknoloji ve güvenlik ekipleri uyarıldı ve Ledger'in farkına varmasından sonraki 40 dakika içinde bir düzeltme uygulandı. Kötü amaçlı dosya yaklaşık 5 saat boyunca yayında kaldı, ancak fonların boşaltıldığı pencerenin iki saatten daha kısa bir süre ile sınırlı olduğuna inanıyoruz. Ledger, hileli projeyi hızla devre dışı bırakan WalletConnect ile koordineli çalıştı. Orijinal ve doğrulanmış Ledger Connect Kit sürüm 1.1.8 artık yaygınlaşıyor ve kullanımı güvenli.

Ledger Connect Kit kodunu geliştiren ve onunla etkileşime giren geliştiriciler için: NPM projesindeki bağlantı kiti geliştirme ekibi artık salt okunurdur ve güvenlik nedeniyle NPM paketini doğrudan aktaramaz. Sırları Ledger'in GitHub'ında yayınlamak üzere dahili olarak rotasyona tabi tuttuk. Geliştiriciler, lütfen en son sürüm olan 1.1.8'i kullandığınızı tekrar kontrol edin.

Ledger, WalletConnect ve ortaklarımızla birlikte kötü niyetli kişinin cüzdan adresini bildirdi. Adres artık Chainalytics'te görünüyor. Tether, kötü oyuncunun USDT'sini dondurdu.

Kullanıcılara her zaman Ledger'ınızdaki İşareti Temizlemelerini hatırlatırız. Ledger ekranında gördüğünüz şey aslında imzaladığınız şeydir. Hala kör imzaya ihtiyacınız varsa ek bir Ledger mint cüzdanı kullanın veya işleminizi manuel olarak ayrıştırın. Fonları etkilenmiş olabilecek müşterilerle aktif olarak konuşuyoruz ve şu anda bu kişilere yardımcı olmak için proaktif bir şekilde çalışıyoruz. Ayrıca şikayette bulunuyoruz ve saldırganın bulunması için soruşturma konusunda kolluk kuvvetleriyle birlikte çalışıyoruz. Bunun da ötesinde, daha fazla saldırıyı önlemek için bu istismar üzerinde çalışıyoruz. Saldırganın fonların boşaltıldığı adresinin burada olduğuna inanıyoruz: 0x658729879fca881d9526480b82ae00efc54b5c2d

Bize yardımcı olan ve bu saldırıyı hızlı bir şekilde tespit edip çözmemize yardım etmeye devam eden WalletConnect, Tether, Chainalytic, zachxbt ve tüm topluluğa teşekkür ederiz. Tüm ekosistemin yardımıyla güvenlik her zaman hakim olacaktır.

Ledger ekibi

Fransızca versiyonu:

Ledger Connect Kit'in sömürülmesi sırasında Ledger Yönetim Kurulu Başkanı ve CEO'su Pascal Gauthier'in Mesajı

Bonjour à tous,

Bugün, Ledger Connect Kit'in, merkezi olmayan kademelerdeki uygulamalar için Ledger cihazının bağlantı kullanıcılarının kullanımına izin veren entegre bir Javascript kütüphanesi olan Ledger Connect Kit'ten yararlanılmasıyla karşı karşıyayız.

Bu durum eski bir kimlik avı saldırısı kurbanı olarak gerçekleşti ve kötü niyetli bir kişinin Defter NPMJS'sine kötü amaçlı bir dosya yüklemesine izin verdi (uygulamalar arasında Javascript kodu için bir paket yönetimi) .

Durumu düzeltmek için hızlı tepki vermeyin ve WalletConnect ile ortaklaşa hareket etmeyin. Kimlik tespitinden 40 dakika sonra, kötü niyetli kodu ortadan kaldırmak ve devre dışı bırakmak için NPMJS'den de kaçındık. Bu bölüm, güvenlikle ilgili önemli hususların üstesinden gelmek için endüstrinin etkili bir şekilde çalıştığı bir bölümdür.

Bu olayın nedenlerini ortadan kaldırıyor ve caddeye özgü riskleri azaltmak için güvenlik uygulamalarına yönelik açıklamalarda bulunuyoruz. İşbirliğini güçlendirmek için endüstriye yönelik pek çok öneri yok.

Chez Ledger, kişilerin başka taraflarca incelenecek şekilde kod dağıtamayacağı güvenlik standardı, uluslararası sistemlerin %99'unda pratik bir uygulamadır. Ayrıca, tüm Ledger sistemlerine erişebilmek için işletmeyi bıraktık.

Bu durum, kötü ve yalıtılmış, güvenliğin sürekli bir evrim içinde olduğu ve sistemlerin sürekli iyileştirilmesini gerektiren bir durum. Bu bağlamda, Ledger, NPM dağıtım kanalına sıkı bir güvenlik zinciri uygulayan, güçlendirilmiş güvenlik kontrolleri yerine getirildi.

Bu, toplulaştırmayla aynı düzeydedir ve merkezi olmayan uygulamaların (DApp'ler) güvenlik normlarını ve gezinme temelleri için etkileşimli kullanıcılarla birlikte daha yüksek düzeyde güvenlik kuralları geliştirmektedir. Bu şekilde Ledger hizmetinin kötüye kullanılması durumunda, başka bir hizmet veya kitapçığa erişim sağlamak mümkün olacaktır.

Chez Ledger, sorunları azaltmak için kör imzalamayla uyum içinde açık imzalamanın etkililiğini çok iyi biliyor. Kullanıcının bir gizlilik ekranı imzalaması durumunda, sahtekarlık işlemlerinin imzası, her zaman kaçmanıza neden olur.

Les Appareils Ledger sont des plakaları oluşturur. Ethereum, DApp'lerin net imzalama uygulamasına izin veren bir eklenti sistemi sunar. Les développeurs ltéressés peuvent en savoir plus sur geliştirici.ledger.com. Topluluğun harekete geçmesiyle birlikte, tüm DApp'lere açık imzalamayı entegre etmek için çok sayıda katılımcı size yardımcı olacak.

Defter, yetkilerle işbirliği yapar ve kurs sırasında soruşturmaya yardımcı olmak için mümkün olan önlemleri alır. Bazı yardımcılar, kötü niyetli bir eylemi tespit ederek, adalet yoluyla, fonları geri alarak ve gerçekleri kurtarmak için düzenin güçleriyle işbirlikçi olarak etkileniyor. Dokunulan kişilerin yaşadığı olaylardan derin pişmanlık duyuyoruz.

Durum iyi kontrol ediliyor, tehditkar bir durum. Toplumda ve dünyada neden olan kaygıyı anlıyoruz. Gerçekte ekipman ve ortaklarınızla ilgili yorum yapmak için eksiksiz bir kronoloji bulacaksınız.

Teşekkür ederim

Pascal Gauthier

-

Gerçek zamanlı sömürünün kronolojisini söyleyin:

Bugün (CET), Ledger'in eski bir çalışanı, bir bilgisayar korsanının NPMJS hesabına erişmesine izin veren bir kimlik avı saldırısı kurbanı oldu. Hacker, Ledger Connect Kit'in kötü amaçlı bir sürümünü yayınladı (1.1.5, 1.1.6 ve 1.1.7 sürümlerini etkiler). Kötü amaçlı kod, fonları bir bilgisayar korsanının porteföyüne yeniden yönlendirmek için WalletConnect sahtekarlığı projesi kullanıyor. Ledger güvenlik ekipmanları uyarıldı ve Ledger'ın vicdan ödülünden sonra 40 dakika içinde bir düzeltme uygulandı. Kötü niyetli dosyalar 5 saat boyunca aktif hale geldi, ancak daha fazla sayıda kişi, paranın iki saatle sınırlı olduğu bir pencereye yerleştirildi. Sahtekarlık projelerini hızlı bir şekilde devre dışı bırakmak için WalletConnect ile ortak bir çalışma yapın. Ledger Connect Kit'in orijinal ve doğrulanmış 1.1.8 sürümü, yayılma aşamasındadır ve tamamen güvenli bir şekilde kullanılabilir.

Ledger Connect Kit kodunda kullanılan geliştiriciler için: NPM projesindeki bağlantı kiti geliştirme süreci derste çözülmüştür ve güvenlik önlemi olarak NPM paketini yönlendirmemelidir. GitHub de Ledger'da yayınlamak için sırları değiştirmeye çalışıyoruz. Geliştiriciler için: 1.1.8'in yeni sürümünü kullandığınızı doğrulayın.

Ledger, WalletConnect ve diğer ortaklarla işbirliği içinde, kötü niyetli bir portefeuille adresinin sinyalini veriyor. L'addresse est désormais sur Chainalytics'te görülebilir. Kötü niyetli USDT'yi bağlayın.

Defterinizdeki işlemler için çeşitli kullanıcılar ve "açık işaretler" kullanılır. Ledger ekranına baktığınız zaman, yeniden imza atıyorsunuz demektir. Eğer bir işlem imzalamak istiyorsanız, yeni bir Defter eki portföyü kullanın veya işlem manuelinizi analiz edin. Bazı durumlarda müşterilerle, o an yardımcı olmak için etkilenmekten ve proaktif manevralardan kaçınmak için para harcamadan aktif olarak iletişim kurarız. Saldırıyı geri almak için saldırı kadrosundaki güçlerle birlikte bir düzlük ve işbirlikleri yapılıyor. Ayrıca, gelecekteki saldırıların önlenmesi için çeşitli sömürü yöntemleri de var. Fonların saldırı adresi ile ilgili diğer adresler şu şekilde: 0x658729879fca881d9526480b82ae00efc54b5c2d

WalletConnect, Tether, Chainalytic, zachxbt ve diğer topluluğa yardımcı olan bazı noktalar var ve tanımlama hızı ve saldırı hızına yardımcı olmaya devam ediyor. Her günkü güvenlik, ekosistem sistemi topluluğunun yardımıyla sağlanır.

L'équipe de Ledger

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit