Ledgerが予約注文顧客へのLedger Staxハードウェアウォレットの提供を開始
Ledgerは、最初の発売日が延期された後、1年以上前に予約注文した顧客に新しいLedger Staxハードウェアウォレットの出荷を開始しました。 2022年12月6日、Web3開発者カンファレンスLedger Op3nで、Ledgerは、iPodの発明者であるTony Fadellと協力して、Ledger Staxと呼ばれる新しいハードウェアウォレットを開発したことを明らかにしたと報告されています。しかし、製品は約束通りに届きませんでした。
Ledger: 2024 年 6 月までにユーザーがブラインド署名に Ledger デバイスを使用することを許可しないことを決定
レジャー氏は、先週の大規模なセキュリティインシデントで、約60万ドルの資産が影響を受け、EVM DAppに盲目的に署名したユーザーから盗まれたとソーシャルメディアに投稿した。 Ledger は、影響を受けた個人 (Ledger 以外のユーザーを含む) が 2024 年 2 月末までに資金を回収できるよう最善を尽くし、DApp エコシステムと協力して Clear Signing を許可することに取り組んでいます。デバイスはブラインド署名を実行します。
Ledger: フィッシングや詐欺に注意、公式アカウントは 2 つだけ
台帳担当者は、進行中のフィッシングや詐欺に注意してくださいと述べています。 Ledger には、@ledger と @ledger_support という 2 つの実際のソーシャル メディア アカウントしかありません。残りは偽のアカウントであり、秘密の 24 単語の回復フレーズを要求する人は犯罪者です。
Ledger Connect Kitがハッキングされる謎
SlowMist セキュリティチームの情報によると、北京時間の 2023 年 12 月 14 日の夜、Ledger Connect Kit がサプライチェーン攻撃を受け、攻撃者は少なくとも 60 万米ドルを獲得しました。 SlowMist セキュリティ チームは直ちに分析に介入し、早期に警告を発しました。
Slow Mist Cosine: Ledger の悪意のあるコードを排除するためにブラウザのキャッシュをクリアすることをお勧めします
Slow Mist の創設者である Yu Xian 氏は、Ledger の脆弱性についてソーシャル メディアに次のように投稿しました: 1. Ledger モジュールのledgerhq/connect-kit が汚染される問題は基本的に軽減されましたが、汚染されたコードは依然としてブラウザにキャッシュされる可能性があります。確実ではありません。ブラウザのキャッシュを必ずクリアしてください (使用しているウォレット アプリの組み込みブラウザ キャッシュを含む); 2. ユーザーは、署名されるウォレット内のすべてのトランザクションを再確認する必要があります; 3. レジャー ウォレットそれ自体は影響を受けない; 4. このサプライチェーン攻撃 詳細は非常に興味深いものであり、このようなハンターはこの暗い森では珍しいものではない; 5. テザーは時間内に行動を起こし、漁業からの USDT の利益を凍結した。いつものように。
台帳のセキュリティ欠陥により複数のイーサリアム アプリケーションへの攻撃が引き起こされる
Zapper、SushiSwap、Phantom、Balancer、Revoke.cashを含むいくつかのイーサリアムベースのアプリケーションは、木曜日初めにLedgerのセキュリティ上の欠陥により攻撃されました。この攻撃は、Ledger Connect Kit に対するサプライチェーン攻撃によって引き起こされました。どれだけの分散型アプリケーション (dapps) が影響を受けたのか、どれだけの損失が失われたのかは不明です。 Sushiの最高技術責任者(CTO)マシュー・リリー氏は、「追って通知があるまで、いかなるdAppsも操作しないでください」とTwitterに書いた。
ハッカーの攻撃により DeFi プロトコルが破壊され、Ledger Connect Kit は悪意のあるコードの挿入を受け、484,000 ドルが盗まれました
ハッカーたちは木曜日、仮想通貨ウォレット会社レッジャーが管理する広く使用されているブロックチェーンソフトウェアであるConnect KitのGithubリポジトリに悪意のあるコードを挿入した後、48万4000ドルを盗んだ。このライブラリを使用するいくつかの主要な分散型金融 (DeFi) プロトコルが影響を受けるため、ユーザーはこれらのプロトコルが更新されるまで分散型アプリケーション (dApp) を使用しないよう警告されています。 Ledger’s Connect Kitは、DeFiプロトコルが暗号ハードウェアウォレットに接続できるようにするコードです。この脆弱性は、Sushi、Lido、Metamask、Coinbase など、Connect Kit を使用するすべてのプロトコルのフロントエンドに影響を与える可能性があります。 Ledger は独自のコードを更新しましたが、リスクを完全に軽減するには、Ledger の Connect Kit を使用するすべてのプロトコルでライブラリのバージョンを手動で更新する必要があります。
安全: Ledger Connect の脆弱性は解決されました。セキュリティは侵害されません
Safe (旧 Gnosis Safe) は、Ledger Connect の脆弱性が解決されたと X プラットフォームに投稿しました。セキュリティは侵害されていません。金庫はこの脆弱性の影響を受けません。セキュリティ アプリと WalletConnect の機能が復元され、セキュリティを強化するために攻撃者のアカウントにフラグが立てられ、UI にフラグが立てられました。
Scopescan: Ledger 攻撃者が資金を移動させており、約 150,000 ドルが送金されています
Scopescanは、Xプラットフォーム上で、Ledger攻撃者が資金を新しいアドレスに転送し、USDCをETHに交換していると述べた。これまでに約15万ドルの資産が移転された。以前、このアドレスは、ChangeNOW プラットフォーム上で一部の ETH の混合をテストしようとしました。
Ledger: 正規の検証済み Ledger Connect Kit バージョン 1.1.8 は安全に使用できるようになりました
Ledger は、X プラットフォームの最新の脆弱性アップデートをリリースしました。これは、正規の検証済み Ledger Connect Kit バージョン 1.1.8 が現在普及しており、安全に使用できることを示しています。 Ledger Connect Kit コードを開発および操作しているビルダーの場合: NPM プロジェクトの Connect-kit 開発チームは現在読み取り専用になっており、セキュリティ上の理由から NPM パッケージを直接プッシュできません。さらに、悪意のあるコードは不正な WalletConnect プロジェクトを使用して、ハッキングされたウォレットに資金を再転送しました。 - Ledger の技術チームとセキュリティ チームは警告を受け、Ledger が認識してから 40 分以内に修正プログラムを展開しました。悪意のあるファイルは約 5 時間存続しましたが、資金が枯渇する時間帯は 2 時間未満に限られていました。同チームは告訴状を提出し、法執行機関と協力して攻撃者を特定する捜査を行っており、さらなる攻撃を回避するために脆弱性を調査している。
