Forklog
2023-12-20 15:08:38

В Ledger озвучили сумму ущерба пользователей от недавнего взлома

В результате компрометации 14 декабря библиотеки Ledger Connect Kit ущерб пользователей кошелька составил около $600 000. We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe. We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.Ledger…— Ledger (@Ledger) December 20, 2023 Согласно заявлению, компания полностью компенсирует ущерб пострадавшим. Контролировать возмещение будет CEO Ledger Паскаль Готье. Фирма также опубликовала отчет об инциденте, который уточнил некоторые детали предварительного расследования.  Утром 14 декабря злоумышленник через фишинговую атаку на экс-сотрудника Ledger получил доступ к его аккаунту в сервисе NPMJS. С 12:49 по 14:37 МСК хакер опубликовал вредоносную версию библиотеки Ledger Connect Kit. Это решение с открытым исходным кодом, с помощью которого разработчики dapps подключают приложения к оборудованию Ledger. DeFi-платформы автоматически подхватили обновленное ПО. Схема атаки. Данные: Ledger. Для перенаправления активов в свои кошельки взломщик использовал фейковый проект WalletConnect. В 16:45 в Ledger узнали о ведущейся атаке благодаря реакции сообщества и прямому сообщению через X команды Blockaid. Примерно через полчаса информацию получили специалисты по безопасности и в течение 40 минут заменили мошенническое ПО на подлинное. Но из-за особенностей сети доставки контента и механизмов кэширования в интернете вредоносный файл оставался доступным около 5 часов. Однако, по оценке Ledger, период, в который злоумышленник опустошал кошельки жертв, составил менее двух часов. Благодаря «быстрой координации» команда WalletConnect отключила мошеннический аналог, а Tether заморозила USDT хакера. Tether just froze the Ledger exploiter address— Paolo Ardoino 🍐 (@paoloardoino) December 14, 2023 В Ledger подчеркнули, что в ходе эксплойта злоумышленник не получил доступ к какой-либо инфраструктуре вроде репозитария кода и даже к самим dapps. Вредонос внедрялся в интерфейсы приложений, предлагая пользователям подписать различного рода транзакции.  По данным компании, пострадавшие клиенты прибегли к методу «слепой подписи», не проверяя, на каком устройстве они это реально делают. Для предотвращения подобных инцидентов разработчик аппаратных кошельков планирует в 2024 году закрыть эту опцию. Ledger призвала пользователей и команды dapps использовать решение Clear Sign. Касательно вызвавшего в сообществе закономерные вопросы наличия доступа к NPMJS-аккаунту у экс-сотрудника в фирме признали, что это было упущением. Команда работает над внедрением механизмов дополнительного контроля на этапе публикации ПО. Напомним, в ноябре пользователи, скачавшие размещенное в Microsoft Store поддельное приложение Ledger Live, потеряли $768 000 в цифровых активах.

获取加密通讯
阅读免责声明 : 此处提供的所有内容我们的网站,超链接网站,相关应用程序,论坛,博客,社交媒体帐户和其他平台(“网站”)仅供您提供一般信息,从第三方采购。 我们不对与我们的内容有任何形式的保证,包括但不限于准确性和更新性。 我们提供的内容中没有任何内容构成财务建议,法律建议或任何其他形式的建议,以满足您对任何目的的特定依赖。 任何使用或依赖我们的内容完全由您自行承担风险和自由裁量权。 在依赖它们之前,您应该进行自己的研究,审查,分析和验证我们的内容。 交易是一项高风险的活动,可能导致重大损失,因此请在做出任何决定之前咨询您的财务顾问。 我们网站上的任何内容均不构成招揽或要约