Hi tất cả mọi người,

Hôm nay, chúng tôi đã gặp phải một vụ khai thác trên Ledger Connect Kit, một thư viện Javascript triển khai một nút cho phép người dùng kết nối thiết bị Ledger của họ với DApps của bên thứ ba (các trang Web được kết nối với ví).

Việc khai thác này là kết quả của việc một cựu nhân viên trở thành nạn nhân của một cuộc tấn công lừa đảo, cho phép kẻ xấu tải tệp độc hại lên NPMJS của Ledger (trình quản lý gói cho mã Javascript được chia sẻ giữa các ứng dụng).

Chúng tôi đã nhanh chóng làm việc cùng với đối tác WalletConnect để giải quyết vấn đề khai thác, cập nhật NPMJS để xóa và vô hiệu hóa mã độc hại trong vòng 40 phút kể từ khi phát hiện. Đây là một ví dụ điển hình về việc ngành đang hợp tác nhanh chóng để giải quyết các thách thức an ninh. 

Bây giờ, tôi muốn giải thích lý do tại sao điều này xảy ra, cách chúng tôi cải thiện các biện pháp bảo mật nhằm giảm thiểu rủi ro cụ thể này trong tương lai và chia sẻ đề xuất của chúng tôi với toàn ngành để chúng ta có thể cùng nhau mạnh mẽ hơn.

Thông lệ tiêu chuẩn tại Ledger là không một cá nhân nào có thể triển khai mã mà không được nhiều bên xem xét. Chúng tôi có các biện pháp kiểm soát quyền truy cập mạnh mẽ, đánh giá nội bộ và mã đa chữ ký khi nói đến hầu hết các phần trong quá trình phát triển của chúng tôi. Đây là trường hợp xảy ra ở 99% hệ thống nội bộ của chúng tôi. Bất kỳ nhân viên nào rời khỏi công ty đều bị thu hồi quyền truy cập vào mọi hệ thống Sổ cái.

Đây là một sự cố cá biệt đáng tiếc. Xin nhắc nhở rằng bảo mật không cố định và Ledger phải liên tục cải thiện các quy trình và hệ thống bảo mật của chúng tôi. Trong lĩnh vực này, Ledger sẽ triển khai các biện pháp kiểm soát bảo mật mạnh mẽ hơn, kết nối quy trình xây dựng của chúng tôi nhằm triển khai bảo mật chuỗi cung ứng phần mềm nghiêm ngặt với kênh phân phối NPM.

Đó cũng là một lời nhắc nhở rằng chúng ta cần tiếp tục nâng cao tiêu chuẩn bảo mật xung quanh DApp nơi người dùng sẽ tham gia ký kết dựa trên trình duyệt. Lần này chính dịch vụ của Ledger đã bị khai thác nhưng trong tương lai điều này có thể xảy ra với một dịch vụ hoặc thư viện khác.

Tại Ledger, chúng tôi tin rằng việc ký kết rõ ràng, trái ngược với việc ký mù, sẽ giúp giảm thiểu những vấn đề này. Nếu người dùng có thể thấy những gì họ ký trên một màn hình đáng tin cậy thì có thể tránh được việc vô tình ký các giao dịch lừa đảo.

Thiết bị sổ cái là nền tảng mở. Ethereum có một hệ thống plugin cho phép DApp triển khai việc ký rõ ràng và các DApp muốn triển khai biện pháp bảo vệ này cho người dùng của họ có thể tìm hiểu cách trên nhà phát triển.ledger.com. Giống như cách chúng tôi thấy cộng đồng đến với nhau ngày hôm nay, chúng tôi mong nhận được sự giúp đỡ của bạn để mang lại sự ký kết rõ ràng cho tất cả các DApp.

Ledger đã hợp tác với chính quyền và đang làm tất cả những gì có thể để giúp đỡ khi cuộc điều tra này diễn ra. Ledger sẽ hỗ trợ những người dùng bị ảnh hưởng trong việc giúp tìm ra kẻ xấu này, đưa chúng ra trước công lý, theo dõi tiền và làm việc với cơ quan thực thi pháp luật để giúp thu hồi tài sản bị đánh cắp từ tin tặc. Chúng tôi vô cùng tiếc nuối về những sự kiện xảy ra ngày hôm nay đối với những cá nhân bị ảnh hưởng. 

Tình hình hiện đã được kiểm soát và mối đe dọa đã qua. Chúng tôi hiểu sự hoảng loạn mà điều này gây ra cho cộng đồng và hệ sinh thái rộng lớn hơn. 

Dòng thời gian đầy đủ có sẵn bên dưới để bạn có thể xem các nhóm và đối tác của chúng tôi đã phản hồi như thế nào.

cảm ơn bạn,
Pascal Gauthier

Chủ tịch & Giám đốc điều hành

-

Đây là dòng thời gian về những gì chúng tôi biết về việc khai thác tại thời điểm này:

Sáng nay CET, một cựu Nhân viên sổ cái đã trở thành nạn nhân của một cuộc tấn công lừa đảo nhằm giành được quyền truy cập vào tài khoản NPMJS của họ. Kẻ tấn công đã phát hành phiên bản độc hại của Ledger Connect Kit (ảnh hưởng đến các phiên bản 1.1.5, 1.1.6 và 1.1.7). Mã độc đã sử dụng dự án WalletConnect lừa đảo để định tuyến lại tiền đến ví của hacker. Các nhóm công nghệ và bảo mật của Ledger đã được cảnh báo và bản sửa lỗi đã được triển khai trong vòng 40 phút kể từ khi Ledger biết được. Tệp độc hại đã tồn tại trong khoảng 5 giờ, tuy nhiên chúng tôi tin rằng khoảng thời gian rút tiền được giới hạn trong khoảng thời gian dưới hai giờ. Ledger đã phối hợp với WalletConnect, người đã nhanh chóng vô hiệu hóa dự án lừa đảo này. Ledger Connect Kit phiên bản 1.1.8 chính hãng và đã được xác minh hiện đang được phổ biến và an toàn khi sử dụng.

Đối với các nhà xây dựng đang phát triển và tương tác với mã Ledger Connect Kit: nhóm phát triển bộ công cụ kết nối trong dự án NPM hiện ở chế độ chỉ đọc và không thể trực tiếp đẩy gói NPM vì lý do an toàn. Chúng tôi đã luân phiên nội bộ các bí mật để xuất bản trên GitHub của Ledger. Các nhà phát triển, vui lòng kiểm tra lại xem bạn có đang sử dụng phiên bản mới nhất không, 1.1.8.

Ledger, cùng với WalletConnect và các đối tác của chúng tôi, đã báo cáo địa chỉ ví của kẻ xấu. Địa chỉ hiện được hiển thị trên Chainalysis. Tether đã đóng băng USDT của kẻ xấu.

Chúng tôi nhắc nhở người dùng luôn Clear Sign với Ledger của mình. Những gì bạn nhìn thấy trên màn hình Ledger là những gì bạn thực sự ký. Nếu bạn vẫn cần ký ẩn, hãy sử dụng ví Ledger mint bổ sung hoặc phân tích giao dịch của bạn theo cách thủ công. Chúng tôi đang tích cực trao đổi với những khách hàng có quỹ có thể bị ảnh hưởng và chủ động làm việc để giúp đỡ những cá nhân đó vào thời điểm này. Chúng tôi cũng đang nộp đơn khiếu nại và làm việc với cơ quan thực thi pháp luật để điều tra nhằm tìm ra kẻ tấn công. Trên hết, chúng tôi đang nghiên cứu cách khai thác để tránh các cuộc tấn công tiếp theo. Chúng tôi tin rằng địa chỉ của kẻ tấn công nơi số tiền bị rút là ở đây: 0x658729879fca881d9526480b82ae00efc54b5c2d

Chúng tôi xin cảm ơn WalletConnect, Tether, Chainalysis, zachxbt và toàn bộ cộng đồng đã giúp đỡ chúng tôi và tiếp tục giúp chúng tôi nhanh chóng xác định và giải quyết cuộc tấn công này. An ninh sẽ luôn chiếm ưu thế với sự giúp đỡ của toàn bộ hệ sinh thái.

Nhóm sổ cái

Phiên bản française:

Un Message de Pascal Gauthier, Chủ tịch & Giám đốc điều hành của Ledger, sur l'exploitation du Ledger Connect Kit

Bonjour à tous,

Hôm nay, chúng ta đang phải đối mặt với một cách khai thác Ledger Connect Kit, một thư viện Javascript tích hợp cho phép sử dụng các công cụ kết nối tập tin Ledger và các ứng dụng phân cấp cấp độ.

Tình huống này là một tình huống có thể xảy ra khi bạn sử dụng một nạn nhân bị tấn công lừa đảo, cho phép một hành động xấu xảy ra với télécharger hoặc một lỗi xấu trên NPMJS của sổ cái (một gói đăng ký cho các phần mã Javascript trong các ứng dụng) .

Notre réaction a été rapide et coordonnée avec notre partenaire WalletConnect để khắc phục tình huống này. Sau 40 phút nhận dạng con trai tiếp theo, chúng ta hãy nhớ lại ngày NPMJS cho éliminer et désactiver le code malveillant. Cet épisode témoigne de l'efficacité de l'industrie travaillant de concert pour surmonter d'importants défis de sécurité.

Từ bỏ việc duy trì những lý do xảy ra sự cố và những lời giải thích nhận xét nous renforcerons nos pratiques de sécurité pour atténuer ce risque spécifique à l'avenir. Chúng tôi tham gia vào các khuyến nghị không thể thiếu trong ngành công nghiệp để tăng cường hợp tác.

Chez Ledger, la Norme de sécurité quy định qu'aucune peoplene seule ne peut déployer du code sans qu'il soit Examinené par plusieurs party, une pratique appliquée dans 99% de nos systèmes innes. Ngoài ra, tất cả nhân viên đã nghỉ việc sẽ có doanh nghiệp với việc gia nhập vào hệ thống sổ cái.

Sự cố xảy ra, malheureux et isolé, souligne que la sécurité est en constante évolution, tất yếu một sự cải tiến tiếp tục de nos systèmes. Trong bối cảnh này, Sổ cái về nơi kiểm soát sécurité cải tiến, liant notre chaîne de build qui applique une sécurité stricte de la chaîne d'approvisionnement au Canal de distribution NPM.

Đó là một cách tuyệt vời để bắt kịp tập thể, nous devons élever les Normes de sécurité autour des apps décentralisées (DApps) hoặc les utilisateurs interagissent avec des signatures basées sur le Navigationur. Bien que cette fois-ci ce soit le service de Ledger qui a été khai thác, cela pourrait se produire à l'avenir avec un autre service ou bibliothèque.

Chez Ledger, nous croyons en l'efficacité du clear-signing par parport au blind-signing để giải quyết các vấn đề. Nếu tôi sử dụng nó, bạn có thể đăng ký sur un écran de confiance, chữ ký không tự nguyện của các giao dịch lừa đảo đổ ra cho bạn être évitée.

Các trang bị được ghi lại trong sổ cái các tấm-formes ouvertes. Ethereum cung cấp một hệ thống plug-in cho phép DApps triển khai ký hiệu rõ ràng. Những điều thú vị về phát triển thú vị và bổ ích trên nhà phát triển.ledger.com. Tất cả những gì bạn đang làm là giao tiếp với người huy động ngày hôm nay, những người tham dự cử tri sẽ giúp bạn tích hợp ký hiệu rõ ràng để chào hàng DApps.

Sổ cái coopère avec les autorités et prend toutes les mesures mights pour aider dans l'enquête en cours. Nous soutiendrons les utilisateurs ảnh hưởng đến người nhận dạng hành động sai trái, người truyền thống và công lý, người cổ xưa les thích và người cộng tác avec les lực lượng de l'ordre pour récupérer les Actifs volés. Nous hối tiếc về sự trình bày của các sự kiện d'aujourd'hui pour les peoplenes touchées.

Tình huống đó là cách duy trì sự kiểm soát, mối đe dọa là hành động. Nous comprenons l'inquiétude que cela a pu gây ra dans la communauté et l'écosystème. Bạn có thể thử một trình tự thời gian hoàn chỉnh để đưa ra nhận xét về các thiết bị và đối tác không có sẵn.

cảm ơn bạn,

Pascal Gauthier

-

Hãy nói về niên đại của những điều mới mẻ trên l'exploitation à l'heure actuelle :

Ce matin, (CET), một nhân viên cũ của Sổ cái là một nạn nhân của vụ lừa đảo và đã cho phép một hacker d'accéder à con trai của NPMJS. Le hacker a public version malveillante du Ledger Connect Kit (các phiên bản ảnh hưởng 1.1.5, 1.1.6 và 1.1.7). Mã độc hại sử dụng một dự án lừa đảo WalletConnect để chuyển hướng các tài khoản sang cổng của hacker. Les équipes de sécurité de Ledger ont été cảnh báo, et une chỉnh sửa một été déployée dans les 40 phút sau giải thưởng lương tâm của Ledger. Le fichier malveillant était Actif mặt dây chuyền môi trường 5 giờ, mais nous pensons que la fenêtre mặt dây chuyền laquelle les fonds ont été détournés était limitée à moins de deux heures. Ghi lại sự hợp tác với WalletConnect, và nhanh chóng ngừng hoạt động gian lận dự án. Phiên bản xác thực và vérifiée du Ledger Connect Kit, phiên bản 1.1.8, est désormais en propagation et peut être utilisée en toute sécurité.

Pour les développeurs qui travaillent sur le code du Ledger Connect Kit: l'équipe de développement du connect-kit sur le projet NPM est désormais en giảng seule et ne peut pas pousser directement le package NPM par mesure de sécurité. Chúng ta đang thay đổi những bí mật được xuất bản trên GitHub của Ledger. Pour les développeurs: veuillez vérifier à nouveau que vous utilisez la dernière phiên bản, la 1.1.8.

Sổ cái, cộng tác với WalletConnect et nos partenaires, một tín hiệu về địa chỉ của kẻ xấu. L'adresse est désormais có thể nhìn thấy được trên Chainalysis. Tether để tránh USDT bị lừa đảo.

Chúng ta cần phải hỗ trợ người sử dụng các chuyến đi “dấu hiệu rõ ràng” cho các giao dịch của bạn với Sổ cái của người bỏ phiếu. Ce que vous voyez sur l'écran de Ledger est ce que vous signez réellement. Nếu bạn phát triển người ký tên trên một phương tiện, hãy sử dụng một cổng thông tin bổ sung sổ cái bổ sung hoặc phân tích thủ tục giao dịch của bạn. Chúng ta nên liên hệ với hành động nếu avec les client don't les fonds pourraient avoir été ảnh hưởng và travaillons de manière chủ động cho les aider en ce moment. Nous déposons également une plainte et collaborons avec les Forces de l'ordre dans le cadre de l'enquête pour retrouver l'attaquant. Ngoài ra, nous étudions l'exploitation afin d'éviter de tương lai attaques. Nous pensons que l’adresse de l’attaquant où les fonds ont été détournés est la suivante : 0x658729879fca881d9526480b82ae00efc54b5c2d

Chúng ta nên tiếp tục sử dụng WalletConnect, Tether, Chainalysis, zachxbt và tất cả các giao tiếp mà chúng ta không hỗ trợ và tiếp tục hỗ trợ nhận dạng nhanh chóng và có khả năng nhận dạng nhanh chóng. La sécurité prévaudra toujours avec l’aide de l’ensemble de l’écosystème.

L'équipe de Ledger

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit