Производитель аппаратных кошельков Ledger предупредил пользователей о недопустимости подключения к децентрализованным приложениям (dapps) после обнаружения вредоносной версии Ledger Connect Kit.
Представитель Ledger сообщил TCN: «Мы выявили и удалили вредоносную версию Ledger Connect Kit. В настоящее время на замену вредоносному файлу выкладывается подлинная версия. На данный момент не взаимодействуйте ни с какими dApp». Пресс-секретарь добавил, что устройства Ledger и приложение Ledger Live не были взломаны, и что компания «будет информировать пользователей по мере развития ситуации».
Разработчик программного кошелька MetaMask также предупредил пользователей о необходимости «прекратить использование dapps», как только стало известно об атаке.
Взломанная версия Connect Kit, библиотеки, которая позволяет аппаратному кошельку Ledger подключаться к dapps, была впервые обнаружена разработчиками, опубликовавшими в Twitter.
Мы обнаружили и удалили вредоносную версию Ledger Connect Kit.
В настоящее время на замену вредоносному файлу выкладывается подлинная версия. В данный момент не взаимодействуйте ни с какими dApps. Мы будем информировать вас о развитии ситуации.
Ваше устройство Ledger и…
— Ledger (@Ledger) Декабрь 14, 2023
Компания BlockAid, специализирующаяся на веб-безопасности, сообщила, что «злоумышленник внедрил в NPM-пакет комплекта ledgerconnect полезную нагрузку, истощающую кошелек», добавив, что пострадали dapps, использующие версии 1.1.4 и выше коннект-кита Ledger, включая Sushi.com и Hey.xyz.
Мы обнаружили потенциальную атаку цепочки поставок на комплект ledgerconnect .
Злоумышленник внедрил в популярный пакет NPM полезную нагрузку, истощающую кошелек.
В настоящее время это затрагивает несколько популярных dapps, включая, но не ограничиваясь https://t.co/2QJmKIGv9T— Blockaid (@blockaid_) December 14, 2023
Технический директор
SushiSwap Мэтью Лилли осудил Ledger за «цепь ужасных ошибок», объяснив, что «широко используемый коннектор web3 был взломан, что позволило внедрить вредоносный код, затронувший множество dApp».
Он добавил, что пользователям следует воздержаться от использования любых dapps, «пока их команды не подтвердят, что они устранили последствия атаки».
Хадсон Джеймсон, представитель разработчиков ядра Ethereum, пояснил: «Библиотека, используемая многими dapps и поддерживаемая Ledger, была взломана, и в нее была добавлена программа для слива кошельков». Повторив, что «в настоящее время рискованно использовать dapps, если вы не понимаете, какие библиотеки бэкенда они используют», Джеймсон добавил: «Даже после того, как Ledger исправит плохой код в своей библиотеке, проекты, использующие и развертывающие эту библиотеку, должны будут все обновить, прежде чем станет безопасно использовать dapps, использующие библиотеки Ledger web3».
В последние месяцы компания Ledger столкнулась с критикой своей безопасности, а добровольный сервис Recover, основанный на идентификации, вызвал гнев криптовалютных пользователей.
Этот сервис, не имеющий отношения к сегодняшней атаке, разделяет начальную фразу пользователя и хранит ее у трех разных хранителей, требуя от пользователя предоставить паспорт или национальное удостоверение личности в качестве идентификатора. Разгневанные пользователи назвали сервис «черным ходом», а соучредитель Ledger Эрик Ларшевек (Éric Larchevêque) назвал запуск сервиса «полным пиар-провалом, но абсолютно не техническим».
В ноябре мошенническое приложение Ledger в Microsoft App Store выманило у ничего не подозревающих клиентов почти 1 миллион долларов, а в 2020 году компания подверглась критике после взлома базы данных электронной почты клиентов, в результате которого было скомпрометировано более миллиона электронных адресов пользователей.