Výrobce hardwarových peněženek Ledger varoval uživatele, aby se nepřipojovali k decentralizovaným aplikacím (dapps) poté, co byla identifikována škodlivá verze Ledger Connect Kit.
Mluvčí společnosti Ledger sdělil TCN, že: „Identifikovali jsme a odstranili škodlivou verzi Ledger Connect Kit. Nyní se prosazuje originální verze, která škodlivý soubor nahradí. V tuto chvíli neinteragujte s žádnými dAppy.“ Mluvčí dodal, že zařízení Ledger a jeho aplikace Ledger Live nebyly ohroženy a že firma „bude uživatele informovat o vývoji situace“.
Vývojář softwarové peněženky MetaMask také varoval uživatele, aby „přestali používat dapps“, jakmile se objevily zprávy o útoku.
Kompromitovanou verzi Connect Kitu, knihovny, která umožňuje hardwarové peněžence Ledger propojení s dapps, poprvé identifikovali vývojáři zveřejněním na Twitteru.
Identifikovali jsme a odstranili škodlivou verzi sady Ledger Connect Kit.
Nyní je na místo škodlivého souboru zasílána originální verze. Prozatím neinteragujte s žádnými dApps. O vývoji situace vás budeme informovat.
Vaše zařízení Ledger a…
– Ledger (@Ledger) December 14 2023
Web3 bezpečnostní firma BlockAid oznámila, že „útočník injektoval payload pro vyprázdnění peněženky“ do balíčku NPM sady ledgerconnect, a dodala, že byly zasaženy dapps používající verzi 1.1.4 a vyšší sady Ledger connect-kit, včetně Sushi.com a Hey.xyz.
Zjistili jsme potenciální útok na dodavatelský řetězec sady ledgerconnect .
Útočník do populárního balíčku NPM injektoval payload pro vysátí peněženky.
Aktuálně se to týká několika populárních dapps, mimo jiné https://t.co/2QJmKIGv9T– Blockaid (@blockaid_) December 14, 2023
Technický ředitel společnosti SushiSwap Matthew Lilley obvinil společnost Ledger z „řetězce strašlivých chyb“ a vysvětlil, že „běžně používaný konektor web3 byl kompromitován, což umožňuje injektáž škodlivého kódu, který ovlivňuje řadu dApps“.
Dodal, že uživatelé by se měli vyhnout používání jakýchkoli dapps, „dokud jejich týmy nepotvrdí, že útok zmírnily“.
Hudson Jameson, který se stará o vývojáře jádra Etherea, vysvětlil, že „byla kompromitována knihovna, kterou používá mnoho dapps a kterou spravuje společnost Ledger, a byl do ní přidán peněženkový drainer“. Jameson zopakoval, že „v současné době je riskantní používat dapps, pokud nerozumíte tomu, jaké backendové knihovny používají,“ a dodal, že „i poté, co Ledger opraví špatný kód ve své knihovně, budou muset projekty, které tuto knihovnu používají a nasazují, věci aktualizovat, než bude bezpečné používat dapps, které používají knihovny web3 společnosti Ledger.“
Společnost Ledger v posledních měsících čelila kritice ohledně své bezpečnosti, přičemž její dobrovolná služba Recover založená na ID vyvolala hněv uživatelů kryptoměn.
Tato služba, která s dnešním útokem nesouvisí, rozděluje seed frázi uživatele a ukládá ji u tří oddělených správců, přičemž jako průkaz totožnosti vyžaduje, aby uživatel poskytl svůj pas nebo občanský průkaz. Rozzuření uživatelé označili službu za „zadní vrátka“, spoluzakladatel společnosti Ledger Éric Larchevêque označil zavedení služby za „totální PR selhání, ale rozhodně ne technické“.
V listopadu podvodná aplikace Ledger v obchodě Microsoft App Store odčerpala z nic netušících zákazníků téměř 1 milion dolarů, zatímco v roce 2020 čelila firma kritice poté, co byla hacknuta e-mailová databáze zákazníků, přičemž bylo ohroženo více než milion e-mailů uživatelů.
