Користувачі Ledger постраждали від злому конектора гаманця з dapps
Розробник апаратних гаманців Ledger повідомив про компрометацію бібліотеки ПЗ, яку використовують децентралізовані застосунки. Хакер зміг впровадити шкідливий код у їхні інтерфейси.
Згідно із заявою, 14 грудня приблизно о 3:35 за київським часом зловмисник замінив справжню версію Ledger Connect Kit на фейкову. Фізичні пристрої користувачів і додаток Ledger Live атака не зачепила.
Команда видалила шкідливий файл, нова оригінальна версія 1.1.8 «поширюється автоматично». Однак розробники не рекомендували використовувати ПЗ протягом доби.
Попереднє розслідування засвідчило, що хакер отримав доступ до акаунта в сервісі NPMJS через фішингову атаку на ексспівробітника Ledger.
Розміщений шкідливий файл проіснував близько 5 годин, але проміжок, у якому відбувалася крадіжка коштів, команда оцінила у 2 години. Для виведення активів зловмисник задіяв WalletConnect, який відключив гаманець скамера.
У Ledger не озвучили суму збитків, але заявили, що зв’язалися з постраждалими клієнтами для обговорення компенсації.
Для пошуку зловмисника компанія має намір звернутися до правоохоронних органів.
У Ledger нагадали користувачам, що під час здійснення транзакції необхідно підписувати їх за допомогою Clear Sign. У разі розбіжності інформації на дисплеї гаманця і на екрані комп’ютера або смартфона варто негайно припинити операцію, підкреслили розробники.
За повідомленням PeckShield, інцидент призвів до компрометації фронтендів Zapper і SushiSwap.
«Не взаємодійте з жодними dapps до подальшого повідомлення. Схоже, широко використовуваний Web3-конектор був скомпрометований, що дає змогу впроваджувати шкідливий код, який зачіпає численні застосунки», — попередив після виявлення атаки CTO Sushi Меттью Ліллі.
Команда платформи Balancer запропонувала користувачам тимчасово не використовувати її інтерфейс, протокол для управління криптоактивами Revoke.cash відключив свій сайт.
Компанія BlockAid, що спеціалізується на кібербезпеці в Web3-індустрії, повідомила Blockworks, що виявила втрату проєктами щонайменше $150 000 через впровадження шкідливого коду. Фахівці фірми згадали в списку потенційно постраждалих від атаки сайтів Sushi, Zapper, MetalSwap і EchoDEX.
Багато коментаторів під повідомленням Ledger із попередніми результатами розслідування поставили запитання, яким чином у колишнього співробітника залишався доступ до критично важливого для безпеки акаунту.
У спільноті згадали колишні інциденти на кшталт витоку даних мільйона користувачів гаманця 2020 року, що призвів до масованих фішингових атак, або виявлення критичних вразливостей.
У травні команда Ledger презентувала спірний інструмент, що дає змогу створити резервну копію сід-фрази для відновлення доступу до пристрою Nano X. Рішення викликало критику з боку багатьох учасників індустрії, а продажі основного конкурента — Trezor — підскочили на 900%.
Нагадаємо, у листопаді користувачі, які завантажили підроблений застосунок Ledger Live, розміщений у Microsoft Store, втратили $768 000 у цифрових активах.