現在、Ledgerのコネクトキットを組み込んだすべての分散型アプリケーション(dApp)に影響を及ぼす可能性のある大規模な攻撃が行われています。現在、Web3ウォレットコネクト機能を提供するいかなるウェブサイトにもアクセスしないことが推奨されています
。
DTD 15:18: Ledgerのアップデートはロールアウトされているとのこと。Ledgerはまた、準備ができ次第「完全なレポート」を発表するとしている。
UPDATE 15:06: Bantegは、Ledgerがアップデートを実施し、悪質なコードが削除されたというメッセージを発表した。ただし、伝播には時間がかかる可能性があるため、Walletを接続できるアプリケーションとは一切関わらないことが推奨される。
UPDATE 15:03: Igor Igamberdiev氏によると、悪質なコードは今朝8.44am頃に実装されたため、潜在的に危険にさらされているウォレットは、その時間以降にLedgerのConnect Kitとやりとりしたウォレットである可能性が高い(確実ではない)。
UPDATE 14:57: チェーン上の調査員ZachXBTによると、この欠陥によってすでに61万ドル以上が盗まれている。Arkham Intelligenceのデータによると、ZachXBTが引用したアドレスはAngel Drainerに資金を送ったと見られており、彼のウォレットは合計で100万ドルを超えています
。
大規模な攻撃が進行中
Ledger接続ツールを組み込んだすべての分散型アプリケーション(dApps)が感染し、そのコードが資金流出機能によって置き換えられているようです。
この欠陥はSushiプロトコルによって最初に報告され、セキュリティ上の理由からサイトをオフラインにした。
緊急セキュリティ警告。
我々は、ledgerコネクタが侵害され、様々なdAppsに影響を与える悪意のあるコードが注入される可能性がある重大な問題を確認しました。
もしSushiのページを開いていて、予期せぬ’Connect Wallet’のポップアップが表示されたら、絶対に… https://t.co/alGVbnPfHW
– Sushi.com (@SushiSwap) December 14, 2023
SushiのCTOであるMatthew Lilley氏は、この欠陥は確かにLedgerに起因するものであり、より具体的には分散型アプリケーションとの相互作用を管理するコネクトキットに起因するものであると述べている。影響を受ける可能性のあるアプリケーションのリストはこちら。これらはすべて、このLedgerの機能
を統合しているアプリケーションです。
LedgerHQ/connect-kitを利用するあらゆるdAppは脆弱です。追って通知があるまで、いかなるdAppも使用しないでください。これは単独の攻撃ではなく、複数のdAppに対する大規模な攻撃です。https://t.co/a3brXNQSx9
– I’m Software (@MatthewLilley) 2023年12月14日
この攻撃は、Revoke.Cashのようなスマートコントラクトに付与された権限の取り消しを可能にするサイトにも感染しており、ユーザーの潜在的な損失を軽減するためにサイトをオフラインにしている点で、より悪質である。Revoke.Cashは、Web3ウォレットに接続するサイトを使用しないことを推奨しています。
参考までに、悪質なコードを含むウィンドウのプレビューを以下に示します。
展開されたコードの例(ウィンドウは実際の接続の上に表示される):https://t.co/7J34ArOTLR
– OAK (@oak_ja) December 14, 2023
レジャー社は、追加情報を提供することなく、Xに関する声明を発表した。
Ledger Connect Kitの悪質なバージョンを特定し、削除しました。
現在、悪意のあるファイルを置き換えるため、正規のバージョンがプッシュされています。当面の間、いかなるdAppsともやり取りしないでください。状況の進展に応じて、またお知らせします。
あなたのLedgerデバイスと…
– Ledger (@Ledger) 2023年12月14日
。