Cointime

Download App
iOS & Android

Ledger Connect Kitがハッキングされる謎

Validated Project

投稿者: リサ & シャン @ スロー ミスト セキュリティ チーム

SlowMist セキュリティチームの情報によると、北京時間の 2023 年 12 月 14 日の夜、Ledger Connect Kit はサプライチェーン攻撃を受け、攻撃者は少なくとも 60 万米ドルの利益を得ました。

SlowMist セキュリティ チームは直ちに分析に介入し、早期に警告を発しました。

SlowMist セキュリティチームの情報によると、北京時間の 2023 年 12 月 14 日の夜、Ledger Connect Kit はサプライチェーン攻撃を受け、攻撃者は少なくとも 60 万米ドルの利益を得ました。

SlowMist セキュリティ チームは直ちに分析に介入し、早期に警告を発しました。

現在、この事件は正式に解決されており、SlowMist セキュリティ チームは次のように緊急情報を共有しています。

タイムライン

午後7時43分、Twitterユーザー@g4sarahは、DeFi資産管理プロトコルZapperのフロントエンドがハイジャックされた疑いがあると述べた。

午後8時30分、寿司の最高技術責任者マシュー・リリー氏はツイッターで警告を発した:「ユーザーは追って通知があるまでdAppを操作しないよう求められる。一般的に使用されるWeb3コネクタ(web3-reactプロジェクトの一部であるJavaScriptライブラリ)」侵害された疑いがあり、多数の dApp に影響を与える悪意のあるコードの挿入を可能にしました。」 その後、Ledger には不審なコードが存在する可能性があると述べられました。 SlowMist セキュリティ チームは、この事件を追跡調査し、分析していると直ちに発表しました。

午後8時56分、Revoke.cashはツイートした:「Ledger Connect Kitライブラリに統合されたRevoke.cashを含む複数の共通暗号アプリケーションが侵害されました。サイトを一時的に閉鎖しました。脆弱性を修正することをお勧めします。いかなるものも使用しないでください」その後、クロスチェーン DEX プロジェクトの Kyber Network も、状況が明らかになるまで警戒してフロントエンド UI を無効にしていると述べました。

午後9時31分、Ledgerはまた、「私たちはLedger Connect Kitの悪意のあるバージョンを特定し、削除しました。現在、悪意のあるファイルを置き換えるために正規のバージョンをプッシュしています。当面はdAppsを操作しないでください。」とリマインダーを発行しました。新しい状況が発生した場合は、お客様に通知します。お使いの Ledger デバイスと Ledger Live は侵害されていません。」

午後9時32分、MetaMaskはまた、「ユーザーがMetaMaskポートフォリオで取引を実行する前に、MetaMask拡張機能でBlockaid機能が有効になっていることを確認してください」と注意喚起を行った。

攻撃の影響

SlowMist セキュリティ チームは直ちに関連コードの分析を開始し、攻撃者が @ledgerhq/connect-kit =1.1.5/1.1.6/1.1.7 バージョンに悪意のある JS コードを埋め込み、通常のコードを Drainer クラスに直接置き換えたことが判明しました。ウィンドウ ロジックは、偽の DrainerPopup ポップアップ ウィンドウをポップアップするだけでなく、さまざまなアセットの転送ロジックも処理します。 CDN 配信を介した暗号通貨ユーザーに対するフィッシング攻撃。

影響を受けるバージョン範囲:

@ledgerhq/connect-kit 1.1.5 (攻撃者はコード内で Inferno に言及しており、おそらくマルチチェーン詐欺を専門とするフィッシング グループ Inferno Drainer に敬意を表しています)

@ledgerhq/connect-kit 1.1.6 (攻撃者はコード内にメッセージを残し、悪意のある JS コードを埋め込みました)

@ledgerhq/connect-kit 1.1.7 (攻撃者はコード内にメッセージを残し、悪意のある JS コードを埋め込みました)

Ledgerは、Ledgerウォレット自体は影響を受けないが、Ledger Connect Kitライブラリを統合するアプリケーションは影響を受けると述べた。

ただし、多くのアプリケーション (SushiSwap、Zapper、MetalSwap、Harvest Finance、Revoke.cash など) が Ledger Connect Kit を使用しており、その影響はさらに大きくなります。

ただし、多くのアプリケーション (SushiSwap、Zapper、MetalSwap、Harvest Finance、Revoke.cash など) が Ledger Connect Kit を使用しており、その影響はさらに大きくなります。

この攻撃により、攻撃者はアプリケーションと同じ権限レベルで任意のコードを実行することができます。たとえば、攻撃者は、対話なしでユーザーの資金をすべて即時に使い果たしたり、大量のフィッシング リンクを公開してユーザーをだまさせたり、さらにはユーザーのパニックに乗じて資産を新しいアドレスに転送しようとしたりする可能性があります。偽のウォレットをダウンロードし、資産を損失します。

技術的および戦術的分析

私たちは上記の攻撃の影響を分析し、過去の緊急事態の経験に基づいて、これは計画的なソーシャル エンジニアリング フィッシング攻撃である可能性があると推測しました。

@0xSentry のツイートによると、攻撃者が残したデジタル痕跡の 1 つに @JunichiSugura (元 Ledger 従業員の Jun) の Gmail アカウントが含まれており、これが侵害され、Ledger が従業員のアクセス権を削除するのを忘れた可能性があります。

午後 11 時 9 分、当局はこの推測を確認しました。元レジャー従業員がフィッシング攻撃の被害者になりました。

1) 攻撃者は従業員の NPMJS アカウントにアクセスしました。

2) 攻撃者は、Ledger Connect Kit の悪意のあるバージョン (1.1.5、1.1.6、および 1.1.7) をリリースしました。

3) 攻撃者は悪意のある WalletConnect を使用し、悪意のあるコードを通じてハッカーのウォレット アドレスに資金を転送します。

現在、Ledger は正規の検証済み Ledger Connect Kit バージョン 1.1.8 をリリースしています。間に合うようにアップグレードしてください。

Ledger npmjs の毒されたバージョンは削除されましたが、jsDelivr にはまだ毒された js ファイルが存在します。

https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

CDN 要因により遅延が発生する可能性があることに注意してください。公式では、Ledger Connect Kit を使用する前に 24 時間待つことを推奨しています。

プロジェクト関係者がサードパーティ CDN に依存するミラー ソースを公開する場合、悪意のあるリリースやその後の更新によって引き起こされる害を防ぐために、関連するバージョンを忘れずにロックすることをお勧めします。 (@galenyuan からの提案)

現時点では、関係者は関連する提案を受け入れており、次のように戦略が変更されると思います。

Ledgerの公式最終スケジュール:

ミストトラック分析

ドレイナー顧客: 0x658729879fca881d9526480b82ae00efc54b5c2d

ドレイナー料金アドレス: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

MistTrack の分析によると、攻撃者 (0x658) は少なくとも 600,000 米ドルを稼ぎ、フィッシング グループ Angel Drainer に関連していることが判明しました。

Angel Drainer ギャングの主な攻撃方法は、ドメイン名サービス プロバイダーとスタッフに対してソーシャル エンジニアリング攻撃を行うことです。興味がある場合は、クリックして「Dark "Angel" - Angel Drainer フィッシング ギャングが明らかにする」を参照してください。

Angel Drainer(0x412) は現在、約 363,000 ドルの資産を保有しています。

SlowMist Threat Intelligence Network によると、次のことが判明しました。

1) IP 168.*.*.46、185.*.*.167

2) 攻撃者は一部の ETH を XMR に交換しました

午後 11 時 9 分、Tether は Ledger エクスプロイターのアドレスを凍結しました。さらに、MistTrack は関連するアドレスをブロックし、資金の変更を監視し続けます。

要約する

この事件は、DeFiのセキュリティが契約のセキュリティだけではなく、セキュリティ全体に関するものであることを改めて証明しました。

一方で、この事件は、サプライチェーンのセキュリティ侵害が深刻な結果を招く可能性があることを示しています。マルウェアや悪意のあるコードは、開発ツール、サードパーティのライブラリ、クラウド サービス、更新プロセスなど、ソフトウェア サプライ チェーンのさまざまなポイントに埋め込まれる可能性があります。これらの悪意のある要素の挿入に成功すると、攻撃者はそれらを使用して、暗号通貨資産やユーザーの機密情報を盗んだり、システム機能を妨害したり、企業を脅迫したり、マルウェアを大規模に拡散したりすることができます。

その一方で、攻撃者はソーシャル エンジニアリング攻撃を通じてユーザーの個人識別情報、アカウント資格情報、パスワード、およびその他の機密情報を取得する可能性があり、攻撃者は、欺瞞的な電子メール、テキスト メッセージ、または電話を使用して、ユーザーを悪意のあるリンクをクリックさせたり、ダウンロードさせたりすることもできます。悪意のあるファイル。ユーザーは、文字、数字、記号を組み合わせた強力なパスワードを使用し、攻撃者がパスワードを推測したり、ソーシャル エンジニアリング技術を使用してパスワードを取得したりする可能性を最小限に抑えるためにパスワードを定期的に変更することをお勧めします。同時に、多要素認証が実装され、追加の認証要素 (SMS 確認コード、指紋認識など) を使用してアカウントのセキュリティが強化され、この種の攻撃に対する防御能力が向上します。

SlowMist セキュリティ チームがリリースした「Web3 プロジェクト セキュリティ実践要件」および「Web3 業界サプライ チェーン セキュリティ ガイド」は、Web3 プロジェクト関係者に総合的なセキュリティ対策に注意を払うよう指導し、思い出させるように設計されています。 SlowMistセキュリティチームが導入したMistEyeセキュリティ監視システムは、契約監視、フロントエンドとバックエンドの監視、脆弱性の発見と早期警告など、あらゆる情報をカバーします。DeFiプロジェクトのプロセス全体のセキュリティに焦点を当てています。イベント前、イベント中、イベント後、プロジェクト関係者は、リスクを制御し、プロジェクトの安全性を向上させるために、MistEye セキュリティ監視システムを使用することができます。

コメント

全てのコメント

Recommended for you

  • Binance Alpha がプロジェクトの最初のバッチを発表: KOMA、Cheems、APX、ai16z、AIXBT

    公式ニュースによると、Binance Alphaはプロジェクトの最初のバッチ、つまりKOMA、Cheems、APX、ai16z、AIXBTを発表しました。

  • Binance Alpha がプロジェクトの最初のバッチを発表: KOMA、Cheems、APX、ai16z、AIXBT

    公式ニュースによると、Binance Alphaはプロジェクトの最初のバッチ、つまりKOMA、Cheems、APX、ai16z、AIXBTを発表しました。

  • Kinto:公式を装ったフィッシングメールにご注意ください

    Kintoは、最近ユーザーがKintoを装ったフィッシングメールを受信して​​いることをXプラットフォーム上で通知した。 Kinto は、これらのメールが Kinto から送信されたものではなく、メールに含まれるリンクをクリックすべきではないことを確認します。さらに、Kinto は、ユーザーのメールボックスは漏洩しておらず、電子メールを受信したメールボックスの一部は Kinto アカウントに関連付けられていなかったと述べました。

  • 香港金融サービス長官兼財務省のホイ・チンユー氏がステーブルコイン法案の第2読会を進めた

    香港政府のプレスリリースによると、香港金融サービス兼財務長官のホイ・チンユー氏は本日の立法会会議で「安定通貨法案」の第二読会を行い、早期可決を望んでいるという。できるだけ。規制制度の要点は以下の 3 点である。 (1) ライセンシーは、ステーブルコインの準備資産が高品質かつ流動性の高い資産で構成され、総額が少なくとも常に流通している法定通貨と等しい ステーブルコインの額面は、適切に分離され、保管; (2) 安定通貨保有者は発行者から額面で償還する権利を有するべきであり、償還要求は不当な手数料なしで合理的な期間内に処理されなければなりません。 (3) マネーロンダリングの必要性と戦うための一連の措置。規定されるべき、リスク管理、開示規制および監査、および適切な候補者の要件。

  • Unichain と The Graph: DeFi 開発者の新時代の到来

    Unichain は、Uniswap によって OP Stack 上に構築された新しい 2 層ブロックチェーンで、ほぼ瞬時のトランザクション速度とより低い手数料で DeFi に革命を起こすことを目的としています。 DeFi 用に特別に設計されたアプリケーション チェーンとして、Uniswap のエコシステムと深く統合されており、ERC-7683 標準を通じてシームレスなクロスチェーン インタラクションを提供します。 The Graph の統合により、開発者は重要なブロックチェーン データに即座にアクセスできるようになり、高性能 DeFi アプリケーションの構築が容易になります。

  • AI エージェント × 暗号通貨: それは暗号通貨の世界にとって革命的な瞬間ですか?

    暗号化された注意経済の下では、現在の AI エージェントは資本の注意、広範な物語の継続的な人気、資産効果の典型的なケース、および長期構築のための実用的な価値を持っています。

  • AI エージェントのスタートアップ /dev/agents は、Index Ventures と CapitalG が主導し、評価額 5 億ドルで 5,600 万ドルのシードラウンドを完了

    12月18日のニュースによると、Stripeの元CTOであるDavid Singleton氏が設立したAIエージェントオペレーティングシステムプラットフォーム/dev/agentsが、評価額5億米ドルで5,600万米ドルのシードラウンドを完了した。このラウンドは Index Ventures と CapitalG が主導し、Conviction Capital も参加しました。このラウンドには、OpenAI 共同創設者の Andrej Karpathy 氏、Scale AI CEO の Alexandr Wang 氏、Palo Alto Networks CEO の Nikesh Arora 氏、Android 創設者の Andy Rubin 氏など、数多くの著名なテクノロジー リーダーも参加しました。 レポートによると、/dev/agents のビジョンは、AI 時代の Android オペレーティング システムを構築し、特別に最適化されたインターフェイスとプロトコルを提供し、新しい UI パターンとユーザー データ モデルを確立することです。

  • ビットワイズ:イーサリアムは2025年にトップに戻る

    トークン化されたファンドの資産は来年3倍になる予定で、その原動力となっているのがイーサリアムだ。 2024 年の暗号通貨のヘッドラインを占めた 2 つの重要な物語は、ビットコイン ETF の立ち上げと記録的な流入によるビットコインの流星的な上昇と、ミームコイン投機によるソラナの小売界の人気者としての台頭です。

  • 「米国戦略ビットコイン準備金」大統領令全文: BTCを永久国家資産として管理せよ

    2024年12月17日、ビットコイン政策研究所は、トランプ政権の米財務省為替安定基金(ESF)のもとで戦略的ビットコイン準備金の設立を提案する大統領令の草案を作成したが、これはトランプ大統領が就任するまで発効しないことを要求するものだった。