چیزهایی که باید بدانید: |
- در 14 دسامبر 2023، لجر یک سوء استفاده از Ledger Connect Kit را تجربه کرد، یک کتابخانه جاوا اسکریپت برای اتصال وب سایت ها به کیف پول.
- این صنعت با لجر همکاری کرد تا این اکسپلویت را خنثی کند و سعی کرد خیلی سریع وجوه دزدیده شده را مسدود کند - این اکسپلویت عملاً کمتر از دو ساعت اجرا شد. - این سوء استفاده در حال حاضر در حال بررسی است، لجر شکایت هایی را ثبت کرده است و به افراد آسیب دیده در تلاش برای بازیابی وجوه کمک می کند. – این اکسپلویت روی یکپارچگی سخت افزار لجر یا لجر لایو تأثیری نداشته و ندارد. |
سلام به همه،
امروز ما یک اکسپلویت را در Ledger Connect Kit تجربه کردیم، یک کتابخانه جاوا اسکریپت که دکمه ای را پیاده سازی می کند که به کاربران اجازه می دهد دستگاه Ledger خود را به DApp های شخص ثالث (وب سایت های متصل به کیف پول) متصل کنند.
این اکسپلویت نتیجه قربانی شدن یک کارمند سابق به یک حمله فیشینگ بود که به یک بازیگر بد اجازه می داد یک فایل مخرب را در NPMJS Ledger (یک مدیر بسته برای کد جاوا اسکریپت که بین برنامه ها به اشتراک گذاشته می شود) آپلود کند.
ما به سرعت، همراه با شریک خود WalletConnect، برای رفع سوء استفاده، به روز رسانی NPMJS برای حذف و غیرفعال کردن کد مخرب در عرض 40 دقیقه پس از کشف، کار کردیم. این نمونه خوبی از همکاری سریع صنعت با یکدیگر برای مقابله با چالش های امنیتی است.
اکنون، میخواهم به این موضوع بپردازم که چرا این اتفاق افتاد، چگونه اقدامات امنیتی خود را برای کاهش این خطر خاص در آینده بهبود خواهیم داد، و توصیههای خود را به صنعت در میان میگذاریم تا بتوانیم با هم قویتر باشیم.
رویه استاندارد در Ledger این است که هیچ شخصی نمی تواند کد را بدون بررسی توسط چندین شخص مستقر کند. ما کنترلهای دسترسی قوی، بررسیهای داخلی، و کدهای چند امضایی در بیشتر بخشهای توسعهمان داریم. این مورد در 99 درصد از سیستم های داخلی ما وجود دارد. هر کارمندی که شرکت را ترک می کند، دسترسی او به هر سیستم لجر لغو می شود.
این یک حادثه منفرد تاسف بار بود. این یادآوری است که امنیت ثابت نیست و لجر باید به طور مداوم سیستمها و فرآیندهای امنیتی ما را بهبود بخشد. در این زمینه، لجر کنترلهای امنیتی قویتری را اجرا میکند و خط لوله ساخت ما را که امنیت زنجیره تامین نرمافزار سختگیرانه را پیادهسازی میکند به کانال توزیع NPM متصل میکند.
این همچنین یادآوری است که در مجموع باید به افزایش سطح امنیت در اطراف DAppها ادامه دهیم، جایی که کاربران در امضای مبتنی بر مرورگر شرکت میکنند. این سرویس لجر بود که این بار مورد سوء استفاده قرار گرفت، اما در آینده ممکن است برای سرویس یا کتابخانه دیگری این اتفاق بیفتد.
در لجر، ما معتقدیم که امضای واضح، در مقابل امضای کور، به کاهش این مشکلات کمک می کند. اگر کاربر بتواند آنچه را که امضا می کند در یک صفحه نمایش قابل اعتماد ببیند، می توان از امضای ناخواسته تراکنش های سرکش جلوگیری کرد.
دستگاه های لجر سکوهای باز هستند. اتریوم دارای یک سیستم پلاگین است که به DApps اجازه می دهد تا امضای واضح را پیاده سازی کند و DAppهایی که مایلند این محافظت را برای کاربران خود پیاده سازی کنند می توانند یاد بگیرند که چگونه در developer.ledger.com. همانطور که امروز دیدیم که جامعه گرد هم آمده است، ما مشتاقانه منتظر کمک شما هستیم تا امضای واضحی را برای همه برنامه های کاربردی ایجاد کنید.
لجر با مقامات درگیر شده است و تمام تلاش خود را برای کمک به این تحقیقات انجام می دهد. Ledger از کاربران آسیب دیده برای کمک به یافتن این بازیگر بد، محاکمه کردن آنها، ردیابی وجوه و همکاری با مجریان قانون برای کمک به بازیابی دارایی های سرقت شده از هکر پشتیبانی می کند. ما عمیقاً از اتفاقاتی که امروز برای افراد آسیب دیده رخ داد متأسفیم.
اوضاع اکنون تحت کنترل است و تهدید از بین رفته است. ما وحشتی را که این امر برای جامعه و اکوسیستم گستردهتر ایجاد کرده است درک میکنیم.
یک جدول زمانی کامل در زیر موجود است، بنابراین میتوانید نحوه واکنش تیمها و شرکای ما را ببینید.
تشکر از شما،
پاسکال Gauthier
رئیس و مدیر عامل
-
در اینجا جدول زمانی چیزی است که ما در مورد سوء استفاده در این لحظه می دانیم:
امروز صبح CET، یکی از کارمندان سابق لجر قربانی یک حمله فیشینگ شد که به حساب NPMJS آنها دسترسی پیدا کرد. مهاجم نسخه مخربی از Ledger Connect Kit را منتشر کرد (بر نسخه های 1.1.5، 1.1.6 و 1.1.7). این کد مخرب از یک پروژه سرکش WalletConnect برای تغییر مسیر وجوه به کیف پول هکری استفاده کرد. تیمهای امنیتی و فناوری لجر هشدار داده شدند و در عرض 40 دقیقه پس از آگاه شدن لجر، رفع مشکل انجام شد. فایل مخرب حدود 5 ساعت زنده بود، با این حال ما معتقدیم پنجره تخلیه وجوه به مدت کمتر از دو ساعت محدود شده بود. لجر با WalletConnect هماهنگ شد که به سرعت پروژه سرکش را غیرفعال کرد. نسخه اصلی و تأیید شده Ledger Connect Kit نسخه 1.1.8 اکنون در حال انتشار است و استفاده از آن بی خطر است.
برای سازندگانی که در حال توسعه و تعامل با کد Ledger Connect Kit هستند: تیم توسعه اتصال-کیت در پروژه NPM اکنون فقط خواندنی هستند و به دلایل ایمنی نمی توانند مستقیماً بسته NPM را فشار دهند. ما اسرار را برای انتشار در GitHub Ledger به صورت داخلی چرخانده ایم. توسعه دهندگان، لطفاً دوباره بررسی کنید که از آخرین نسخه، 1.1.8 استفاده می کنید.
Ledger به همراه WalletConnect و شرکای ما آدرس کیف پول بازیگر بد را گزارش کرده اند. آدرس اکنون در Chainalysis قابل مشاهده است. تتر USDT بازیگر بد را مسدود کرده است.
ما به کاربران یادآوری میکنیم که همیشه علامت را با دفتر کل خود پاک کنند. آنچه در صفحه لجر می بینید همان چیزی است که در واقع امضا می کنید. اگر هنوز نیاز به علامت کور دارید، از یک کیف پول اضافی لجر منت استفاده کنید یا تراکنش خود را به صورت دستی تجزیه و تحلیل کنید. ما به طور فعال با مشتریانی که ممکن است وجوه آنها تحت تأثیر قرار گرفته باشد صحبت می کنیم و در حال حاضر برای کمک به آن افراد فعالانه کار می کنیم. ما همچنین در حال ثبت شکایت هستیم و با نیروی انتظامی در حال انجام تحقیقات برای یافتن مهاجم هستیم. علاوه بر آن، ما در حال مطالعه اکسپلویت هستیم تا از حملات بیشتر جلوگیری کنیم. ما معتقدیم آدرس مهاجم که در آن وجوه تخلیه شده است اینجا است: 0x658729879fca881d9526480b82ae00efc54b5c2d
مایلیم از WalletConnect، Tether، Chainalysis، zachxbt و کل انجمنی که به ما کمک کردند و همچنان به ما در شناسایی و حل سریع این حمله کمک کردند، تشکر کنیم. امنیت همیشه با کمک کل اکوسیستم حاکم خواهد بود.
تیم لجر
نسخه فرانسوی:
پیام پاسکال گوتیه، رئیس هیئت مدیره و مدیرعامل د لجر، کیت اتصال Ledger.
نکات clés: |
– در 14 دسامبر 2023، Ledger fait face à une exploitation du Ledger Connect Kit، یک کتاب مقدس جاوا اسکریپت دائمی اتصال دهنده سایت ها Web à des portefeuilles crypto.
– L'industrie a collaboré avec Ledger pour neutraliser l'exploitation et tenter de geler rapidement les fonds volés – l'exploitation a eu lieu durant moins de deux heures. – Cette exploitation در تحقیقات انجام شده است. Ledger a déposé des plaintes et s'efforcera d'aider les personnes affectées à récupérer leurs fonds. – Cette exploitation n'a pas affecté et n'affecte pas la sécurité des portefeuilles physiques Ledger ni de Ledger Live. – L'exploitation était limitée aux applications décentralisées tierces quitilisent le Ledger Connect Kit. |
Bonjour در à توس،
Aujourd'hui, nous avons été confrontés à une exploitation du Ledger Connect Kit, un bibliothèque Javascript intégrant un bouton permettant aux utilisateurs de connecter leur appareil Ledger à des applications décentralisées tierces.
وضعیت Cette est liée au fait qu'un ancien employé a été qurbane d'une attaque de phishing, permettant à un acteur malveillant de télécharger un fichier malveillant sur le NPMJS de Ledger (un gestionnaire de packages pour le code applications Javascriptre) .
Notre Réaction a été rapide et coordonnée avec notre partenaire WalletConnect pour remédier à la position. Dans les 40 minutes suivant son identification, nous avons mis à jour le NPMJS pour éliminer et désactiver le code malveillant. Cet épisode témoigne de l'efficacité de l'industrie travaillant de concert pour surmonter d'importants défis de sécurité.
Abordons maintenant les raisons de cet incident et exliquons comment nous renforcerons nos pratiques de sécurité pour atténuer ce risque spécifique à l'avenir. Nous partageons également nos recommandations avec l'industrie pour renforcer notre colaboration.
Chez Ledger, la norme de sécurité stipule qu'aucune personne seule ne peut déployer du code sans qu'il soit examine par plusieurs party, un pratique appliquée dans 99% de nos system internes. علاوه بر این، کارمندان را ترک می کنند.
حادثه Cet، malheureux et isolé، souligne que la sécurité est en constante évolution، ضروری یک بهبودی ادامه سیستم ها. Dans ce contexte، Ledger mettra en place des controlles de sécurité renforcés, liant notre chaîne de construction qui applique une sécurité stricte de la chaîne d'approvisionnement au canal de distribution NPM.
Il également rappelé que collectivement، nous devons élever les normes de sécurité autour des applications décentralisées (DApps) و les Utilisateurs interagissent avec des signatures basées sur le navigateur. Bien que cette fois-ci ce soit le service de Ledger qui a été exploité, cela pourrait se produire à l'avenir avec un autre service ou bibliothèque.
Chez Ledger، nous croyons en l'efficacité du clear-signing par rapport au blind-signing pour atténuer ces problems. Si l'utilisateur peut voir ce qu'il signe sur un écran de confiance، la signature involontaire detraaks frauduleuses pourra toujours être évitée.
Les appareils Ledger sont des plates-formes ouvertes. اتریوم سیستم پلاگینها را بهصورت دائمی برای پیادهسازی DApps و امضای شفاف ارائه میکند. Les Développeurs intéressés peuvent en savoir plus sur developer.ledger.com. Tout comme nous avons vu la communauté se mobiliser aujourd'hui، nous presentons votre aide pour intégrer le clear-signing à toutes les DApps.
Ledger coopère avec les autorités et prend toutes les mesures possibles pour aider dans l'enquête en cours. Nous soutiendrons les Utilisateurs affectés en Identifiant l'acteur malveillant، en le traduisant en عدالت، en retrouvant les fonds et en colaborant avec les force de l'ordre pour récupérer les actifs volés. ما حسرت عمیق les événements d'aujourd'hui pour les personnes touchées.
La وضعیت est maintenant sous contrôle، la menace écartée. Nous comprenons l'inquiétude que cela a pu causer dans la communauté et l'écosystème. Vous trouverez ci-dessous une chronologie complète pour voir comment nos équipes et partenaires ont réagi.
تشکر از شما،
پاسکال Gauthier
-
Voici la chronologie de ce que nous savons sur l'exploitation à l'heure actuelle:
Ce matin، (CET)، کارمند قدیمی لجر یک قربانی فیشینگ است که اجازه یک هکر را دارد که پسرش NPMJS را جذب کرده است. هکر یک نسخه عمومی malveillante du Ledger Connect Kit (نسخه های 1.1.5، 1.1.6 و 1.1.7). Le code malveillant utilisait un project WalletConnect frauduleux pour rediriger les fonds vers le portefeuille d'un hacker. Les équipes de sécurité de Ledger ont été alertées, et une correction a été déployée dans les 40 minutes suivant la prize de concience par Ledger. Le fichier malveillant était actif pendant environ 5 heures, mais nous pensons que la fenêtre pendant laquelle les fonds ont été détournés était limitée à moins de deux heures. Ledger a avec WalletConnect، که یک پروژه غیرفعال سریع پروژه کلاهبرداری است. نسخه معتبر و تأییدیه کیت اتصال Ledger، نسخه 1.1.8، est désormais en propagation و peut être utilisée en toute sécurité.
کیت اتصال Ledger برای توسعهدهندگان از کدهای لجر: l'équipe de developpement du connect-kit sur le project NPM est désormais en lecture seule et ne peut pas pousser directement le package NPM par Mesure de Sécurité. رازها را تغییر میدهد که انتشارات GitHub de Ledger است. Pour les développeurs: veuillez vérifier à nouveau que vous utilisez la dernière version, la 1.1.8.
Ledger، en avec WalletConnect et nos partenaires، a signalé l'adresse du portefeuille du malfaiteur. L'adresse est désormais قابل مشاهده در Chainalysis است. اتصال یک gelé les USDT du malfaiteur.
ما راپلون ها به کمک استفاده کنندگان از توجور "علامت واضح" در معاملات avec votre Ledger. Ce que vous voyez sur l'écran de Ledger est ce que vous signez réellement. Si vous devez toujours signer de manière aveugle, utilisez un portefeuille mint Ledger supplémentaire ou analysez votre transact manuellement. برخی از افراد فعال در تماس با مشتریان هستند که از علاقهمندیهای خود لذت میبرند و تلاش میکنند تا در لحظهای فعال باشند. Nous déposons également une plainte et collaborons avec les force de l'ordre dans le cadre de l'enquête pour retrouver l'attaquant. به علاوه، نويس étudions l'exploitation afin d'éviter de attaques futures. Nous pensons que l'adresse de l'attaquant où les fonds ont été détournés est la suivante : 0x658729879fca881d9526480b82ae00efc54b5c2d
تتر، Chainalysis، Zachxbt و Toute la communauté qui nous ont aidés و conventt de nous helper à identifier à rapidement à résoudre cette attaque. La sécurité prévaudra toujours avec l'aide de l'ensemble de l'écosystème.
L'équipe de Ledger
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit
- : دارد
- :است
- :نه
- :جایی که
- 1
- 13
- 14
- 14th
- 2023
- 40
- 7
- 8
- a
- درباره ما
- دسترسی
- حساب
- فعالانه
- واقعا
- اضافی
- نشانی
- اثر
- تحت تاثیر قرار
- موثر بر
- از نو
- معرفی
- مجاز
- اجازه دادن
- اجازه می دهد تا
- در امتداد
- در کنار
- همچنین
- همیشه
- an
- و
- دیگر
- هر
- برنامه های کاربردی
- برنامه های
- هستند
- محدوده
- دور و بر
- AS
- دارایی
- At
- حمله
- حمله
- مقامات
- در دسترس
- اجتناب از
- اجتناب کنید
- مطلع
- بد
- بار
- BE
- تبدیل شدن به
- بوده
- بودن
- باور
- در زیر
- میان
- به ارمغان بیاورد
- آوردن
- گسترده تر
- ساختن
- سازندگان
- اما
- دکمه
- by
- CAN
- مورد
- ایجاد می شود
- مدیر عامل شرکت
- اینها
- زنجیر
- تحلیل زنجیره ای
- رئيس
- چالش ها
- کانال
- بررسی
- واضح
- مشتریان
- رمز
- همکاری کرد
- همکاری
- مجموعا
- بیا
- می آید
- توضیح
- انجمن
- شرکت
- شکایت
- شکایت
- کنسرت
- اتصال
- اتصال
- ساخت و ساز
- تماس
- ادامه دادن
- به طور مداوم
- کنترل
- گروه شاهد
- هماهنگ
- میتوانست
- عضو سازمانهای سری ومخفی
- در حال حاضر
- مشتریان
- DApps
- گسترش
- مستقر
- توسعه دهنده
- توسعه دهندگان
- در حال توسعه
- پروژه
- تیم توسعه
- دستگاه
- دستگاه ها
- DID
- مستقیما
- غیر فعال
- کشف
- نمایش دادن
- توزیع
- میکند
- عمل
- آیا
- تخلیه شده
- E&T
- اکوسیستم
- به طور موثر
- کارمند
- اجرای
- تعامل
- مشغول
- ethereum
- EU
- حوادث
- هر
- هر کس
- مثال
- با تجربه
- بهره برداری
- بهره برداری
- سوء استفاده قرار گیرد
- چهره
- سقوط
- پرونده
- واصل
- بایگانی
- پیدا کردن
- رفع
- برای
- نیروهای
- سابق
- به جلو
- منجمد
- از جانب
- منجمد
- کامل
- بودجه
- بیشتر
- آینده
- آینده
- به دست آورد
- واقعی
- GitHub
- خوب
- هکر
- رخ دادن
- اتفاق افتاده است
- سخت افزار
- آیا
- کمک
- کمک کرد
- کمک
- اینجا کلیک نمایید
- ساعت ها
- چگونه
- اما
- HTTPS
- شناسایی
- شناسه
- شناسایی
- if
- انجام
- پیاده سازی می کند
- بهبود
- in
- حادثه
- افراد
- صنعت
- تمامیت
- تعامل
- داخلی
- داخلی
- تحقیق
- جدا شده
- مسائل
- IT
- جاوا اسکریپت
- عدالت
- دانستن
- آخرین
- قانون
- اجرای قانون
- یاد گرفتن
- قرائت
- دفتر کل
- لجر زنده
- سیستم دفتر کل
- ترک کرد
- کمتر
- نامه
- کتابخانه
- محل
- پسندیدن
- محدود شده
- زنده
- نگاه کنيد
- مدیر
- دستی
- پیام
- قدرت
- نعناع
- دقیقه
- کاهش
- لحظه
- صبح
- اکثر
- چندگانه
- باید
- ne
- نیاز
- نه
- اکنون
- of
- on
- داشتن
- باز کن
- مخالف
- or
- سفارش
- ما
- بسته
- بسته
- هراس
- احزاب
- شریک
- شرکای
- بخش
- حزب
- پاسکال Gauthier
- گذشت
- شیب
- دوره
- شخص
- فیشینگ
- حمله فیشینگ
- خط لوله
- محل
- سیستم عامل
- افلاطون
- هوش داده افلاطون
- PlatoData
- لطفا
- پلاگین
- به علاوه
- تمرین
- شیوه های
- بلادرنگ
- فرآیندهای
- پروژه
- حفاظت
- انتشار
- منتشر کردن
- منتشر شده
- فشار
- به سرعت
- بالا بردن
- دلایل
- توصیه
- بهبود یافتن
- با توجه
- پشیمانی
- یادآور
- برداشتن
- گزارش
- نتیجه
- این فایل نقد می نویسید:
- بررسی
- خطر
- در حال اجرا
- امن
- ایمنی
- همان
- دید
- پرده
- اسرار
- تیم امنیت لاتاری
- دیدن
- سرویس
- اشتراک گذاری
- به اشتراک گذاشته شده
- امضاء
- امضا
- امضا
- امضای
- تنها
- سایت
- وضعیت
- So
- نرم افزار
- زنجیره تامین نرم افزار
- حل
- آن
- خاص
- استاندارد
- ایستا
- هنوز
- به سرقت رفته
- وجوه دزدیده شده
- سخت
- قوی
- قوی
- در حال مطالعه
- عرضه
- زنجیره تامین
- پشتیبانی
- به سرعت
- سیستم
- سیستم های
- سخنگو
- تیم
- تیم ها
- پیشرفته
- افسار
- نسبت به
- تشکر
- که
- La
- آینده
- شان
- آنها
- اینها
- آنها
- سوم
- این
- کسانی که
- تهدید
- زمان
- جدول زمانی
- به
- امروز
- با هم
- بالا
- مسیر
- معامله
- معاملات
- مورد اعتماد
- امتحان
- دو
- UN
- زیر
- فهمیدن
- مایه تاسف
- به روز رسانی
- us
- USDT
- استفاده کنید
- استفاده
- کاربر
- کاربران
- با استفاده از
- تایید
- نسخه
- نسخه
- بسیار
- قربانی
- قابل رویت
- کیف پول
- کیف پول
- بود
- مسیر..
- we
- وب
- بود
- چی
- چه زمانی
- که
- WHO
- تمام
- که
- چرا
- اراده
- پنجره
- با
- در داخل
- بدون
- مهاجرت کاری
- مشغول به کار
- کارگر
- خواهد بود
- شما
- شما
- Zachxbt
- زفیرنت