Forklog
2023-12-20 15:08:38

В Ledger озвучили сумму ущерба пользователей от недавнего взлома

В результате компрометации 14 декабря библиотеки Ledger Connect Kit ущерб пользователей кошелька составил около $600 000. We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe. We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.Ledger…— Ledger (@Ledger) December 20, 2023 Согласно заявлению, компания полностью компенсирует ущерб пострадавшим. Контролировать возмещение будет CEO Ledger Паскаль Готье. Фирма также опубликовала отчет об инциденте, который уточнил некоторые детали предварительного расследования.  Утром 14 декабря злоумышленник через фишинговую атаку на экс-сотрудника Ledger получил доступ к его аккаунту в сервисе NPMJS. С 12:49 по 14:37 МСК хакер опубликовал вредоносную версию библиотеки Ledger Connect Kit. Это решение с открытым исходным кодом, с помощью которого разработчики dapps подключают приложения к оборудованию Ledger. DeFi-платформы автоматически подхватили обновленное ПО. Схема атаки. Данные: Ledger. Для перенаправления активов в свои кошельки взломщик использовал фейковый проект WalletConnect. В 16:45 в Ledger узнали о ведущейся атаке благодаря реакции сообщества и прямому сообщению через X команды Blockaid. Примерно через полчаса информацию получили специалисты по безопасности и в течение 40 минут заменили мошенническое ПО на подлинное. Но из-за особенностей сети доставки контента и механизмов кэширования в интернете вредоносный файл оставался доступным около 5 часов. Однако, по оценке Ledger, период, в который злоумышленник опустошал кошельки жертв, составил менее двух часов. Благодаря «быстрой координации» команда WalletConnect отключила мошеннический аналог, а Tether заморозила USDT хакера. Tether just froze the Ledger exploiter address— Paolo Ardoino 🍐 (@paoloardoino) December 14, 2023 В Ledger подчеркнули, что в ходе эксплойта злоумышленник не получил доступ к какой-либо инфраструктуре вроде репозитария кода и даже к самим dapps. Вредонос внедрялся в интерфейсы приложений, предлагая пользователям подписать различного рода транзакции.  По данным компании, пострадавшие клиенты прибегли к методу «слепой подписи», не проверяя, на каком устройстве они это реально делают. Для предотвращения подобных инцидентов разработчик аппаратных кошельков планирует в 2024 году закрыть эту опцию. Ledger призвала пользователей и команды dapps использовать решение Clear Sign. Касательно вызвавшего в сообществе закономерные вопросы наличия доступа к NPMJS-аккаунту у экс-сотрудника в фирме признали, что это было упущением. Команда работает над внедрением механизмов дополнительного контроля на этапе публикации ПО. Напомним, в ноябре пользователи, скачавшие размещенное в Microsoft Store поддельное приложение Ledger Live, потеряли $768 000 в цифровых активах.

Get Crypto Newsletter
Read the Disclaimer : All content provided herein our website, hyperlinked sites, associated applications, forums, blogs, social media accounts and other platforms (“Site”) is for your general information only, procured from third party sources. We make no warranties of any kind in relation to our content, including but not limited to accuracy and updatedness. No part of the content that we provide constitutes financial advice, legal advice or any other form of advice meant for your specific reliance for any purpose. Any use or reliance on our content is solely at your own risk and discretion. You should conduct your own research, review, analyse and verify our content before relying on them. Trading is a highly risky activity that can lead to major losses, please therefore consult your financial advisor before making any decision. No content on our Site is meant to be a solicitation or offer.