Hardwareportemonneefabrikant Ledger heeft gebruikers gewaarschuwd geen verbinding te maken met gedecentraliseerde applicaties (dapps), nadat een kwaadaardige versie van de Ledger Connect Kit was geïdentificeerd.
Een woordvoerder van Ledger vertelde TCN het volgende: “We hebben een schadelijke versie van de Ledger Connect Kit geïdentificeerd en verwijderd. Er wordt nu een echte versie gepushed om het schadelijke bestand te vervangen. Momenteel is er geen interactie met dApps.” De woordvoerder voegde eraan toe dat Ledger-apparaten en de Ledger Live app niet in gevaar waren en dat het bedrijf “gebruikers op de hoogte zal houden van de ontwikkelingen”.
Software wallet ontwikkelaar MetaMask waarschuwde gebruikers ook om “te stoppen met het gebruik van dapps” toen het nieuws van de aanval bekend werd.
De gecompromitteerde versie van de Connect Kit, een bibliotheek die ervoor zorgt dat de Ledger hardware wallet verbinding kan maken met dapps, werd voor het eerst geïdentificeerd door ontwikkelaars die berichten plaatsten op Twitter.
We hebben een schadelijke versie van de Ledger Connect Kit geïdentificeerd en verwijderd.
Er wordt nu een echte versie gepushed om het schadelijke bestand te vervangen. Ga op dit moment geen interactie aan met dApps. We houden u op de hoogte als de situatie zich verder ontwikkelt.
Uw Ledger-apparaat en…
– Ledger (@Ledger) December 14, 2023
Web3 beveiligingsbedrijf BlockAid meldde dat, “De aanvaller een portemonnee aftappende payload injecteerde” in het NPM-pakket van de ledgerconnect-kit, eraan toevoegend dat dapps die versies 1.1.4 en hoger van Ledger’s connect-kit gebruiken, waaronder Sushi.com en Hey.xyz, getroffen waren.
We hebben een potentiële ketenaanval op ledgerconnect-kit gedetecteerd
De aanvaller heeft een payload geïnjecteerd die de portemonnee leeghaalt in het populaire NPM-pakket.
Dit treft momenteel een aantal populaire dapps, waaronder maar niet beperkt tot https://t.co/2QJmKIGv9T– Blockaid (@blockaid_) December 14, 2023
Matthew Lilley, CTO van SushiSwap, beschuldigde Ledger van een “aaneenschakeling van verschrikkelijke blunders”. Hij legde uit dat “een veelgebruikte web3-connector is gecompromitteerd waardoor kwaadaardige code kan worden geïnjecteerd die van invloed is op talrijke dApps”.
Hij voegde eraan toe dat gebruikers het gebruik van dApps moeten vermijden “totdat hun teams bevestigen dat ze de aanval hebben gemitigeerd.”
Ethereum core developer liaison Hudson Jameson legde uit dat, “een bibliotheek die wordt gebruikt door veel dapps en wordt onderhouden door Ledger werd gecompromitteerd en een wallet drainer werd toegevoegd.” Nogmaals benadrukkend dat “het momenteel riskant is om dapps te gebruiken als je niet begrijpt welke backend bibliotheken ze gebruiken”, voegde Jameson eraan toe dat “zelfs nadat Ledger de slechte code in hun bibliotheek heeft gecorrigeerd, projecten die die bibliotheek gebruiken en implementeren dingen zullen moeten bijwerken voordat het veilig is om dapps te gebruiken die Ledger’s web3 bibliotheken gebruiken.”
Ledger heeft de afgelopen maanden te maken gehad met kritiek over de beveiliging, waarbij de vrijwillige, op ID gebaseerde Recover-service van het bedrijf de woede van crypto-gebruikers heeft opgewekt.
De service, die niets te maken heeft met de aanval van vandaag, splitst de seed phrase van de gebruiker op en slaat deze op bij drie verschillende bewaarders, waarbij de gebruiker zijn paspoort of nationale identiteitskaart moet opgeven als ID. Boze gebruikers noemden de dienst een “achterdeur” en Ledger’s medeoprichter Éric Larchevêque noemde de uitrol van de dienst “een totale PR mislukking, maar absoluut geen technische mislukking”.
In november haalde een frauduleuze Ledger-app in de Microsoft App Store bijna 1 miljoen dollar weg bij nietsvermoedende klanten en in 2020 kreeg het bedrijf kritiek te verduren nadat een e-maildatabase van klanten was gehackt, waarbij meer dan een miljoen gebruikerse-mails in gevaar kwamen.