Τι συνέβη με το Ledger Connect Kit

15 Δεκεμβρίου, 2023

Ένα exploit στην εφαρμογή διεπαφής του Ledger με τρίτες dApp εφαρμογές έγινε γνωστό χθες το μεσημέρι. Αυτή η ευπάθεια δεν επηρέασε και δεν έθεσε ποτέ σε κίνδυνο τα κρυπτονομίσματα των hardware wallets, παρά μόνο όσων συνδέθηκαν χθες μέσω του Ledger Connect Kit.

Ο Διευθύνων Σύμβουλος της Ledger, Pascal Gauthier, λέει ότι η επίθεση ήταν ένα «ατυχές μεμονωμένο περιστατικό». Η επίθεση έγινε με τη μέθοδο phishing ενός πρώην υπαλλήλου, δίνοντας στον εισβολέα πρόσβαση στον διαχειριστή πακέτων του Ledger. Ο hacker άλλαξε για λίγες ώρες τον κώδικα του Ledger Connect Kit προσθέτοντας κακόβουλη δυνατότητα. Το exploit φέρεται να προτρέπει τους χρήστες να συνδέσουν τα πορτοφόλια τους μέσω ενός αναδυόμενου παραθύρου. Εάν το κάνανε, ο χάκερ αποκτούσε πρόσβαση στο πορτοφόλι και το άδειαζε.

Η αλλαγή στον κώδικα έγινε άμεσα αντιληπτή και η Ledger αντικατέστησε τον μολυσμένο κώδικα εντός 40 λεπτών. Το συνολικό συμβάν διήρκησε περίπου 5 ώρες. Το συμβάν αφορούσε πορτοφόλια του Ethereum και γενικά του EVM οικοσυστήματος. Επηρεάστηκαν εφαρμογές όπως το Metamask καθώς και σε ιστότοπους DeFi όπως Uniswap, Sushiswap, Revoke.cash, Zapper και άλλα dApps, που αναγκάστηκαν προσωρινά να κατεβάσουν τα site τους.

«Η τυπική πρακτική στο Ledger είναι ότι κανένα άτομο δεν μπορεί να αναπτύξει κώδικα χωρίς έλεγχο από πολλά μέρη. Διαθέτουμε ισχυρά στοιχεία ελέγχου πρόσβασης, εσωτερικές κριτικές και κωδικό πολλαπλών υπογραφών, για τα περισσότερα μέρη της ανάπτυξής μας. Αυτό συμβαίνει στο 99% των εσωτερικών μας συστημάτων. Κάθε υπάλληλος που αποχωρεί από την εταιρεία ανακαλείται η πρόσβασή του από κάθε σύστημα Ledger», είπε ο Gauthier. Δεν είναι ακόμη σαφές πώς ο υπάλληλος είχε διατηρήσει την πρόσβαση στο σύστημα, ενώ φήμες αναφέρουν ότι ήταν πρώην υπάλληλος.

FINAL TIMELINE AND UPDATE TO CUSTOMERS:

4:49pm CET:

Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.

The investigation continues, here is the timeline of what we know about…

— Ledger (@Ledger) December 14, 2023

«Η Ledger έχει συνεργαστεί με τις αρχές και κάνουμε ό,τι μπορούμε για να βοηθήσουμε καθώς εξελίσσεται αυτή η έρευνα. Η Ledger θα υποστηρίξει τους επηρεαζόμενους χρήστες και σίγουρα θα βρεθεί ο υπεύθυνος και θα έρθει ενώπιον της δικαιοσύνης. Ο Διευθύνων Σύμβουλος της Tether, Paolo Ardoino, ανάρτησε επίσης στο X ότι η διεύθυνση του δράστη είναι γνωστή (0x658729879fca881d9526480b82ae00efc54b5c2d) και τα USDT του παγωμένα.

Ο κακόβουλος κώδικας πλέον αποτελεί παρελθόν, η νέα ασφαλής έκδοση v1.1.8 είναι διαθέσιμη σε όλους, και το συμβάν φαίνεται να στοίχισε $484 χιλιάδες σε χαμένα κρυπτονομίσματα.