Ledger がサプライチェーン攻撃を受けた、「ユーザーはチェーン上でのやり取りをやめてください」

Loopy Lu

读者

2023-12-14 14:05

この記事は約1656文字で、全文を読むには約3分かかります

EVM dApp はセキュリティテストに直面しています。

オリジナル - 毎日

著者 - ルーピー

今日、有名なハードウェアウォレットブランドのレジャーが重大なセキュリティインシデントに見舞われました。 Ledgerは独自のハードウェアウォレットを販売していますが、この事件はウォレット自体をはるかに超えて広範囲に影響を及ぼし、多数のdAppsがリスクにさらされています。現在、被害を受けた資金に関する統計はありません。

Odaily は、状況が明らかになるまで、EVM チェーン上のすべてのインタラクションを一時停止するようユーザーに通知します。

レジャーの何が問題なのでしょうか？

まず第一に、この攻撃は Ledger のハードウェアウォレットを標的としたものではなく、dApp を標的としたものでした。 Ledger の GitHub で、Ledger Library 内の Ledger ConnectKit スイートのコードが悪意を持って改ざんされました。

変更した部分はLedgerのWalletConnect機能で使用されます。

Ledger ConnectKitは Ledger が提供するサービスであり、特に開発者の作業を容易にすることができます。ご存知のとおり、dApp が対話したい場合は、ウォレットに接続する必要があります。では、ウォレットに「接続」するにはどうすればよいでしょうか?もちろん、開発者がウォレットのドキュメントを参照して接続部分のコードを自分で開発することもできますが、より成熟して簡単な方法は、優れた経験を持つサードパーティの成熟した「コネクタ」を使用し、開発した「コネクタ」を直接使用することです。大手メーカーの「つながる」機能。

WalletConnect もそのようなサービスの 1 つです。できるユーザーのウォレットと dApp を接続できるようにするしたがって、この関数は次とほぼ同じです。チェーン上のすべてのユーザーこれらはすべて密接に関連しており、ハードウェアウォレットのユーザーをはるかに超えた影響を与えます。

どのサービスが影響を受けますか?

現時点では、影響を受ける dApp の完全なリストに関する明確な統計はありません。ただし、Ledgerの影響が強いため、多くのdAppにこの機能が組み込まれており、影響を受けるdAppの範囲は非常に広いと判断できます。

Odaily は、現時点では EVM チェーン上のすべてのインタラクションを停止するようユーザーに再度通知します。

「認証解除」機能で知られる Revoke.cash も影響を受けました。これにより、影響を受けなかった一部のユーザーでも、承認がキャンセルされたときに危険なイベントが発生する原因となりました。コミュニティユーザーは、Revoke.cash Web サイトに深刻な脆弱性があると報告しました。彼はウォレットに接続すらせず、フロントエンドを開いただけで、Web ページはすでにトロイの木馬をコンピュータに埋め込もうとしていました。

Revoke.cash は X プラットフォームに、Revoke.cash が Web サイトを一時的に閉鎖し、脆弱性が悪用されている間は暗号化された Web サイトを使用しないことをお勧めすると投稿しました。

Sushi は、影響を受けることが最初に発見されたプラットフォームの 1 つです。Sushi CTOのマシュー・リリー氏はXプラットフォームの警告の中で、「追って通知があるまでDappと対話しないでください。Web3で一般的に使用される共通コネクタ（コネクタ）」が破損している疑いがあり、多くの人々に影響を与える悪意のあるコードが注入される可能性があると述べています。 DApps。セキュリティチーム PeckShieldAlert は、コミュニティの貢献者が Zapper と Sushi のフロントエンドが侵害されたと報告したことを指摘しました。

クロスチェーン DEX プロジェクトの Kyber Network は、X プラットフォームに関する文書を発行し、状況が明らかになるまで警戒してフロントエンド UI を無効にしていると述べました。

現在、Trader Joe や Hey を含む一部の Dapps は、追って通知があるまで Ledger コネクタとの統合を積極的に停止すると述べています。

もちろん「逃げた」プロジェクトもあり、Aavaの創設者スタニ氏は、Aavaはまだ影響を受けておらず、すべての資金は安全だと述べた。ただし、Ledger からのさらなる説明があるまでは、DApp を使用しないでください。

セキュリティ事件発生後、市場が混乱したが、今回の事件も影響した可能性がある。 Ouyi OKX市場では、BTCが一時41202USDTまで下落し、1時間以内に振幅4.4％となったことが示されています。 ETHは一時2226USDTまで下落し、1時間以内に振幅は3.35％となった。

治安状況は回復しましたか？

12 月 15 日 (事件の翌日)、Ledger は X プラットフォームに、正規の Ledger Connect Kit 1.1.8 の安全なバージョンがリリースされたと投稿しました。 Ledger および WalletConnect の悪意のあるコードが非アクティブ化されていることを確認します。ユーザーはすでに Ledger ConnectKit を安全に使用できますが、24 時間待ってブラウザのキャッシュをクリアすることをお勧めします。

レジャーのCEOは、影響を受けた個人を支援すると表明した公開書簡を発行した。書簡によると、この事件は元従業員に対するフィッシング攻撃の結果であり、悪意のある攻撃者がJavaScriptコードのパッケージマネージャーであるLedgerのNPMJSに悪意のあるファイルをアップロードすることになったという。
Ledger はパートナーと協力して脆弱性を迅速に排除し、盗まれた資金の迅速な凍結を試みましたが、実際の凍結期間は 2 時間未満でした。この脆弱性は、Ledger Connect Kitを使用するサードパーティのDAppsに限定されており、現在調査中であり、Ledgerは苦情を申し立てており、影響を受けた個人が資金を回収するのに役立ちます。
Ledger は影響を受けたユーザーをサポートし、攻撃者の発見と裁判にかけ、資金を追跡し、法執行機関と協力してハッカーから盗まれた資産を取り戻すのを支援します。
以前、Tether CEOのPaolo Ardoino氏は、TetherがLedgerエクスプロイターのアドレスのUSDTを凍結したとXプラットフォームに投稿した。
さらに、Ledger は、正規の Ledger Connect Kit 1.1.8 の安全なバージョンがリリースされたと述べました。 Ledger および WalletConnect の悪意のあるコードが非アクティブ化されていることを確認します。ユーザーはすでに Ledger ConnectKit を安全に使用できますが、24 時間待ってブラウザのキャッシュをクリアすることをお勧めします。

影響を受けたウェブサイトもアップデートが完了したと発表している。

Revoke.cashは、Ledgerの脆弱性をサイトから削除し、アクセスを再開したと発表した。 Sushi は侵害された Ledger コネクタも削除し、サイトは現在オンラインに戻りました。

この事件の規模は大きいものの、盗まれた資金はそれほど大きくはないようで、不幸中の幸いである。現在、この事件は徐々に収束しつつあります。

財布

安全性

Odaily公式コミュニティへの参加を歓迎します

購読グループ

https://t.me/Odaily_News

チャットグループ

https://t.me/Odaily_CryptoPunk

公式アカウント

https://twitter.com/OdailyChina