У Ledger озвучили суму збитків користувачів від нещодавнього злому
Унаслідок компрометації 14 грудня бібліотеки Ledger Connect Kit збиток користувачів гаманця склав близько $600 000.
Згідно із заявою, компанія повністю компенсує збитки постраждалим. Контролювати відшкодування буде CEO Ledger Паскаль Готьє.
Фірма також опублікувала звіт про інцидент, який уточнив деякі деталі попереднього розслідування.
Уранці 14 грудня зловмисник через фішингову атаку на ексспівробітника Ledger отримав доступ до його акаунта в сервісі NPMJS.
З 12:49 до 14:37 МСК хакер опублікував шкідливу версію бібліотеки Ledger Connect Kit. Це рішення з відкритим вихідним кодом, за допомогою якого розробники dapps підключають додатки до обладнання Ledger. DeFi-платформи автоматично підхопили оновлене ПЗ.
Для перенаправлення активів у свої гаманці зловмисник використовував фейковий проєкт WalletConnect.
О 16:45 у Ledger дізналися про атаку, що ведеться, завдяки реакції спільноти та прямому повідомленню через X команди Blockaid. Приблизно через пів години інформацію отримали фахівці з безпеки та протягом 40 хвилин замінили шахрайське ПЗ на справжнє. Але через особливості мережі доставлення контенту та механізмів кешування в інтернеті шкідливий файл залишався доступним близько 5 годин.
Однак, за оцінкою Ledger, період, за який зловмисник спустошував гаманці жертв, становив менше ніж дві години. Завдяки «швидкій координації» команда WalletConnect відключила шахрайський аналог, а Tether заморозила USDT хакера.
У Ledger підкреслили, що під час атаки зловмисник не отримав доступу до будь-якої інфраструктури на кшталт репозитарію коду і навіть до самих dapps. Шкідник впроваджувався в інтерфейси додатків, пропонуючи користувачам підписати різного роду транзакції.
За даними компанії, постраждалі клієнти вдалися до методу «сліпого підпису», не перевіряючи, на якому пристрої вони це реально роблять. Для запобігання подібних інцидентів розробник апаратних гаманців планує у 2024 році закрити цю опцію. Ledger закликала користувачів і команди dapps використовувати рішення Clear Sign.
Щодо наявності доступу до NPMJS-акаунту в екс-співробітника, який викликав у спільноті закономірні запитання, у фірмі визнали, що це було упущенням. Команда працює над впровадженням механізмів додаткового контролю на етапі публікації ПЗ.
Нагадаємо, у листопаді користувачі, які завантажили розміщений у Microsoft Store підроблений застосунок Ledger Live, втратили $768 000 у цифрових активах.