ハードウェアウォレットメーカーのLedger社は、悪意のあるバージョンのLedger Connect Kitが確認されたことを受け、分散型アプリケーション(dapps)に接続しないようユーザーに警告した。
Ledgerの広報担当者はTCNに対し、「悪意のあるバージョンのLedger Connect Kitを特定し、削除しました。現在、悪意のあるファイルを置き換えるために正規のバージョンがプッシュされています。当分の間、いかなるdAppsともやりとりしないでください” と述べた。広報担当者は、LedgerデバイスとそのLedger Liveアプリは侵害されておらず、同社は “状況が進展するにつれてユーザーに情報を提供する “と付け加えた。
ソフトウェア・ウォレット開発者のMetaMaskも、攻撃のニュースが流れると、ユーザーに「dappsの使用を停止する」よう警告した。
LedgerのハードウェアウォレットとDappsの接続を可能にするライブラリであるConnect Kitの侵害されたバージョンは、開発者がTwitterに投稿したことで初めて特定された。
Ledger Connect Kitの悪意のあるバージョンを特定し、削除しました。
現在、悪意のあるファイルを置き換えるため、正規のバージョンがプッシュされています。当面の間、いかなるdAppsともやり取りしないでください。状況の進展に応じて、またお知らせします。
あなたのLedgerデバイスと…
– Ledger (@Ledger) 2023年12月14日
。
Web3 セキュリティ会社のBlockAidは、「攻撃者はウォレットを流出させるペイロードをledgerconnectキットのNPMパッケージに注入した」と報告し、Sushi.comやHey.xyzなど、Ledgerのコネクトキットのバージョン1.1.4以上を使用しているDappsが影響を受けたと付け加えた
。
ledgerconnect kit に対する潜在的なサプライチェーン攻撃を検知しました。
攻撃者は、人気のある NPM パッケージにウォレットを消耗させるペイロードを注入しました。
これは現在、https://t.co/2QJmKIGv9T– Blockaid (@blockaid_) 2023年12月14日
を含むが、これに限定されないいくつかの人気dappsに影響を及ぼしている。
SushiSwapのCTOであるMatthew Lilley氏は、Ledgerの「一連のひどい失態」を非難し、「一般的に使用されているWeb3コネクタが侵害され、多数のdAppsに影響を与える悪意のあるコードを注入できるようになった」と説明した。
彼は、”チームが攻撃を緩和したことを確認するまで “ユーザーはどのdappsの使用も避けるべきだと付け加えた。
イーサリアムのコア開発者リエゾンのハドソン・ジェイムソン氏は、”Ledgerが管理している多くのdappsで使用されているライブラリが侵害され、ウォレットドレイナーが追加された “と説明した。Ledgerが彼らのライブラリの悪いコードを修正した後でも、そのライブラリを使用しデプロイしているプロジェクトは、Ledgerのweb3ライブラリを使用しているdappsを安全に使用できるようになる前に、アップデートする必要があります。”と付け加えた。
Ledgerはここ数ヶ月間、そのセキュリティに関する批判に直面しており、自主的なIDベースのRecoverサービスが暗号ユーザーの怒りを買っている。
今日の攻撃とは無関係だが、このサービスはユーザーのシード・フレーズを分割し、3つのカストディアンに保管するもので、ユーザーはIDとしてパスポートか国民IDカードを提出する必要がある。Ledgerの共同設立者であるエリック・ラルシュヴェックは、このサービスを「バックドア」だと憤慨するユーザーを前に、このサービスの展開を「完全なPRの失敗だが、技術的な失敗ではない」と評した。
11月には、マイクロソフトのApp StoreでLedgerの詐欺アプリが無防備な顧客から100万ドル近くを引き出し、2020年には顧客の電子メール・データベースがハッキングされ、100万人以上のユーザーの電子メールが漏洩し、同社は批判に直面した
。