Er vindt momenteel een grootschalige aanval plaats die mogelijk alle gedecentraliseerde applicaties (dApps) kan treffen die gebruik maken van Ledger’s connect kit. Er wordt momenteel aangeraden om GEEN websites te bezoeken die de Web3 wallet connect functionaliteit aanbieden
DTD 15:18: Ledger’s update wordt uitgerold, volgens het bedrijf. Ledger zei ook dat een “volledig rapport” zal worden gepubliceerd zodra het klaar is.
UPDATE 15:06: Banteg heeft een bericht gepubliceerd waarin staat dat Ledger een update heeft geïmplementeerd en dat de kwaadaardige code is verwijderd. Het wordt echter nog steeds aangeraden om geen interactie aan te gaan met toepassingen waarmee Wallet kan worden verbonden, omdat de verspreiding enige tijd kan duren.
UPDATE 15:03: Volgens Igor Igamberdiev werd de kwaadaardige code vanochtend rond 8.44 uur geïmplementeerd, dus het is waarschijnlijk (maar niet zeker) dat de wallets die mogelijk gevaar lopen diegene zijn die na die tijd interactie hadden met Ledger’s Connect Kit.
UPDATE 14:57: Volgens on-chain onderzoeker ZachXBT is er al meer dan $610.000 gestolen via het lek. Volgens de gegevens van Arkham Intelligence zou het door ZachXBT genoemde adres geld hebben gestuurd naar Angel Drainer, wiens portemonnee meer dan $1 miljoen waard is.
Een grote aanval is aan de gang.
Dit zou een van de grootste aanvallen kunnen zijn die ooit heeft plaatsgevonden in het Web3 ecosysteem: het lijkt erop dat alle gedecentraliseerde applicaties (dApps) die gebruik maken van de Ledger verbindingstool geïnfecteerd zijn en dat hun code is vervangen door een aftapfunctie.
Het lek werd voor het eerst gemeld door het Sushi protocol, dat zijn site offline heeft gehaald om veiligheidsredenen, en dat ons informeert dat het probleem zijn oorsprong vindt bij Ledger:
Dringend beveiligingsalarm
We hebben een kritiek probleem geïdentificeerd dat de ledger-connector gecompromitteerd is, waardoor mogelijk kwaadaardige code kan worden geïnjecteerd die van invloed is op verschillende dApps.
Als u de Sushi pagina open hebt en een onverwachte ‘Connect Wallet’ pop-up ziet, NIET… https://t.co/alGVbnPfHW
– Sushi.com (@SushiSwap) December 14, 2023
Matthew Lilley, de CTO van Sushi, heeft verklaard dat het lek inderdaad is ontstaan bij Ledger, en meer specifiek in hun Connect Kit, die verantwoordelijk is voor het beheren van de interactie met gedecentraliseerde applicaties. De lijst met mogelijk getroffen applicaties is hier te vinden. Dit zijn alle applicaties die deze Ledger-functionaliteit integreren
EEN dApp die gebruik maakt van LedgerHQ/connect-kit is kwetsbaar. Gebruik tot nader order GEEN dApps. Dit is geen geïsoleerde aanval, maar een grootschalige aanval op meerdere dApps. https://t.co/a3brXNQSx9
– I’m Software (@MatthewLilley) December 14, 2023
Deze aanval is des te slinkser omdat het ook sites heeft geïnfecteerd die het mogelijk maken om autorisaties van smart contracts in te trekken, zoals Revoke.Cash, die zijn site ook offline heeft gehaald om mogelijke verliezen voor zijn gebruikers te beperken. Revoke.Cash raadt u aan om GEEN enkele site te gebruiken die verbinding maakt met een Web3 portemonnee.
Ter informatie is hier een voorbeeld van het venster met de kwaadaardige code:
Een voorbeeld van de ingezette code (het venster verschijnt boven de daadwerkelijke verbinding): https://t.co/7J34ArOTLR
– OAK (@oak_nl) December 14, 2023
Ledger heeft een verklaring over X afgegeven zonder aanvullende informatie te verstrekken:
We hebben een schadelijke versie van de Ledger Connect Kit geïdentificeerd en verwijderd.
Er wordt nu een echte versie gepushed om het schadelijke bestand te vervangen. Ga op dit moment geen interactie aan met dApps. We houden u op de hoogte als de situatie zich verder ontwikkelt.
Uw Ledger-apparaat en…
– Ledger (@Ledger) December 14, 2023