A jelentés kelte: 2023-12-20
Az eset dátuma: 2023-12-14
Az észlelt incidens típusa: Jogosulatlan hozzáférés és rosszindulatú kód
Összefoglaló
A Ledger kizsákmányolást észlelt a Ledger Connect Kit segítségével 14. december 2023-én, csütörtökön. Ez a kizsákmányolás rosszindulatú kódot fecskendezett be a Ledger Connect Kitet használó DApp-okba, és rávette az EVM DApp felhasználókat, hogy olyan tranzakciókat írjanak alá, amelyek kimerítik a pénztárcájukat. A kizsákmányolást gyorsan észrevették, és rövid időn belül végrehajtották a megoldást. Időközben a felhasználók kis része beleesett a támadásba, és aláírt tranzakciókat, amelyek kimerítették pénztárcájukat.
Network TwentyOne Global
Az órarend részletezése a közép-európai idő (CET) időzóna szerint történik:
2023-12-14: Reggel: Egy korábbi főkönyvi alkalmazott egy kifinomult adathalász támadás áldozata lett, amely a 2FA-t megkerülve, az egyén munkamenet-tokenje segítségével hozzáfért NPMJS-fiókjához.
2023-12-14 – 09:49 / 10:44 / 11:37: A támadó az NPMJS-en (az alkalmazások között megosztott Javascript-kód csomagkezelője) tette közzé a Ledger Connect Kit rosszindulatú verzióját (az 1.1.5, 1.1.6 és 1.1.7 verziókat érinti). A rosszindulatú kód egy szélhámos WalletConnect projektet használt, hogy átirányítsa az eszközöket a hackerek pénztárcájába.
2023-12-14: 1.45: Ledger az ökoszisztéma különböző szereplőinek gyors reakciójának köszönhetően értesült a folyamatban lévő támadásról, beleértve a Blockaidet is, aki felkereste a Ledger csapatát és megosztotta az X-ről szóló frissítéseket.
2023-12-14: 2.18: A Ledger technológiai és biztonsági csapatait figyelmeztették a támadásra, és a Ledger csapatai a Ledger tudomására jutásától számított 40 percen belül bevezették a Ledger Connect Kit javítás eredeti verzióját. A CDN (Content Delivery Network) és az internet gyorsítótárazási mechanizmusai miatt a rosszindulatú fájl egy kicsit tovább hozzáférhető maradt. Az NPMJS kompromittálódásától a teljes felbontásig körülbelül 5 óra telt el. A rosszindulatú kód kiterjesztett elérhetősége annak az időnek a következménye, amelybe a CDN-nek szüksége volt ahhoz, hogy a gyorsítótárat globálisan terjeszthesse és frissítse a fájl legújabb, eredeti verziójával. A fájl ötórás jelenléte ellenére vizsgálatunk alapján úgy becsüljük, hogy az az időtartam, amely alatt a felhasználói eszközök aktívan lemerültek, összesen kevesebb mint két órára korlátozódott.
A Ledger gyorsan egyeztetett partnerünkkel, a WalletConnect-tel, aki letiltotta a szélhámos WalletConnect-példányt, amellyel az eszközöket elszívták a felhasználóktól.
2023-12-14: 2.55 Egyeztetésünkre a Tether lefagyasztotta a támadó(k) USDT-jét (vö. TX).
Kiváltó okok elemzése, megállapítások és megelőzési intézkedések
Kontextus
Főkönyv Connect-Kit egy Java Script nyílt forráskódú könyvtár, amely lehetővé teszi a fejlesztők számára, hogy összekapcsolják DApp-jaikat a Ledger hardverrel. A segítségével integrálható Connect-Kit-loader olyan összetevő, amely lehetővé teszi a DApp számára, hogy futás közben betöltse a Connect-Kit CDN-ről. Ez lehetővé teszi a DApp fejlesztők számára, hogy mindig a legújabb verzióval rendelkezzenek Connect-Kit a csomagverziók manuális frissítése és új buildek kiadása nélkül. A Ledger által a terjesztéshez használt CDN az NPMJS. A legtöbb DApp integrálta a Connect-Kit az említett Connect-Kit-loader segítségével.
A Ledger Connect Kit kihasználása során a támadó soha nem férhetett hozzá egyetlen Ledger infrastruktúrához, Ledger kódtárhoz vagy magukhoz a DApp-okhoz sem. A támadó képes volt egy rosszindulatú kódcsomagot tolni a CDN-en belül a Connect-Kit helyett. Ezt a rosszindulatú Connect-Kit kódot ezután dinamikusan betöltötték a DApp-ok, amelyek már integrálták a Connect-Kit-betöltőt.
A Ledger Connect Kit exploit rávilágít a kockázatokra, amelyekkel a Ledger és az iparág együttesen szembesül a felhasználók védelme érdekében, és arra is emlékeztet, hogy közösen tovább kell emelnünk a lécet a biztonság terén a DApps körül, ahol a felhasználók böngésző alapú aláírást végeznek. Ezúttal a Ledger szolgáltatását használták ki, de a jövőben ez más szolgáltatással vagy könyvtárral is megtörténhet.
Kiváltó ok
A támadó annak érdekében, hogy a rosszindulatú kódcsomagot továbbíthassa az NPMJS-re, adathalászott egy korábbi alkalmazottját, hogy kihasználja az egyén hozzáférését az NPMJS-hez. Az egykori alkalmazott hozzáférését a Ledger rendszereihez (beleértve a Githubot, az SSO alapú szolgáltatásokat, az összes belső Ledger eszközt és a külső eszközöket) megfelelően visszavonták, de sajnos a korábbi alkalmazottak hozzáférését az NPMJS-hez nem vonták vissza megfelelően.
Megerősíthetjük, hogy ez egy szerencsétlen, elszigetelt eset volt. A Ledger-alkalmazottak hozzáférése a Ledger-infrastruktúrához az alkalmazottak kilépése során automatikusan visszavonásra kerül, azonban a jelenlegi technológiai szolgáltatások és eszközök globális működése miatt nem tudjuk automatikusan visszavonni bizonyos külső eszközökhöz való hozzáférést (beleértve az NPMJS-t is), és ezeket manuálisan kell kezelni. az alkalmazottak leszállásának ellenőrző listája minden egyes személy számára. A Ledger rendelkezik egy meglévő és rendszeresen frissített offboarding eljárással, amelynek során eltávolítjuk a távozó alkalmazottakat minden külső eszköztől. Ebben az egyedi esetben a hozzáférést nem vonták vissza manuálisan az NPMJS-n, amit sajnálunk, és egy külső, harmadik fél partnerrel auditáljuk.
Ez egy kifinomult támadás volt, amelyet a támadó hajtott végre. Annak ellenére, hogy a kéttényezős hitelesítést (2FA) kényszerítette ki az NPMJS megcélzott fiókján, ami általában sok próbálkozástól elrettent, a támadó megkerülte ezt a biztonsági intézkedést azáltal, hogy kihasználta a korábbi alkalmazott fiókjához társított API-kulcsot.
Ez a konkrét támadás lehetővé tette a támadó számára, hogy feltöltse a Ledger Connect Kit új rosszindulatú verzióját, amely az úgynevezett Angel Drainer kártevőt tartalmazta. Az Angel Drainer egy rosszindulatú program, amelyet kifejezetten olyan rosszindulatú tranzakciók létrehozására terveztek, amelyek aláírásukkor kimerítik a pénztárcákat. Ez egy teljes infrastruktúra, amely az EVM-láncokra specializálódott, és igény szerint intelligens szerződéseket épít be, és személyre szabott tranzakciókat készít a kár maximalizálása érdekében.
Sajnálatos módon, NPMJS.com nem teszi lehetővé a többszörös felhatalmazást vagy az aláírás-ellenőrzést az automatikus kiadás. Dolgozunk azon ad hoc mechanizmusok hozzáadásával, amelyek további ellenőrzéseket kényszerítenek ki a telepítési szakaszban.
Álláspontja
Ez egy jól előkészített támadás volt tapasztalt támadó(k) által. Az alkalmazott adathalász technika nem a hitelesítő adatokra összpontosított, amit a legtöbb, az ökoszisztémát érintő Front-End támadásban látunk, hanem a támadó közvetlenül a munkamenet tokennel dolgozott.
A felhasznált rosszindulatú program az Angel Drainer volt, és a Ledger biztonsági csapata az elmúlt három hónapban azt tapasztalta, hogy megnövekedett az ezzel a kártevőt használó bűncselekmények száma (kérjük, olvassa el ezt a Blockaid jelentés). Azt is láthatjuk a láncon, hogy az ellopott pénzeszközöket felosztják: 85% a kizsákmányoló, 15% pedig az Angel Drainer, ami rosszindulatú programnak tekinthető, mint szolgáltatás.
Ez az Angel Drainer arra készteti a felhasználókat, hogy különböző típusú tranzakciókat írjanak alá, attól függően, hogy milyen eszköztípust jelenleg megcéloz. Az ERC20 és NFT tokenek esetében aláírásra kéri a felhasználókat jóváhagyás és a engedélyezhet üzenetek. A natív tokenek esetében a levezető megkéri a felhasználót, hogy írjon alá egy hamis „igénylési” tranzakciót, ahol a követelés módszer egyszerűen besöpri az alapokat, vagy egyszerű token-átutalásokat, amelyeket később egy intelligens szerződés megfelelő címen történő telepítésével át lehet söpörni.
Ezért továbbra is támogatjuk a Clear Signing mint iparágat, hogy a felhasználók ellenőrizhessék, mit látnak Ledger hardvereszközük megbízható kijelzőjén.
Javító intézkedések
A Ledger biztonsági és technológiai csapatai, beleértve a Ledger vezetői csapatát is, jelenleg felülvizsgálják és auditálják az általunk használt Ledger belső és külső eszközök és rendszerek összes hozzáférés-szabályozását.
A Ledger meg fogja erősíteni irányelveit a kód felülvizsgálatával, telepítésével, terjesztésével és hozzáférés-szabályozásával kapcsolatban, beleértve az összes külső eszköz hozzáadását a karbantartási és az off-board ellenőrzésekhez. Továbbra is általánosítjuk a kódaláírást, ha szükséges. Ezenkívül rendszeres belső auditokat végzünk, hogy megbizonyosodjunk ennek megfelelő végrehajtásáról.
A Ledger már szervez biztonsági képzéseket, beleértve az adathalász képzést is. A belső biztonsági képzési programot is megerősítik 2024 elején a saját részlegükön dolgozó valamennyi alkalmazott számára. A Ledger már rendszeresen szervez harmadik féltől származó biztonsági értékeléseket, és továbbra is prioritásként kezeli ezeket az értékeléseket.
2024 elején egy speciális, harmadik féltől származó auditot hajtanak végre a hozzáférés-szabályozásra, a kód promóciójára és terjesztésére összpontosítva.
Ezenkívül megerősítjük infrastruktúra-figyelő és riasztási rendszereinket, hogy képesek legyünk még gyorsabban észlelni és reagálni a jövőbeni eseményekre.
Végül megduplázzuk a vakaláírás megakadályozását, eltávolítva a Ledger-felhasználók számára a lehető legnagyobb biztonsági gyakorlatok biztosítása érdekében, és felvilágosítjuk a felhasználókat a tranzakciók aláírásának lehetséges hatásairól, akár biztonságos megjelenítés nélkül, akár annak megértése nélkül, hogy mit írnak alá, ha nem használják. Aláírás törlése.
Ezúton is köszönjük partnereinknek az ökoszisztémában, hogy a Ledger csapataival gyorsan együttműködtek a kizsákmányolás azonosításában és megoldásában.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.ledger.com/blog/security-incident-report
- :van
- :is
- :nem
- :ahol
- 09
- 1
- 10
- 11
- 14th
- 15%
- 2023
- 2024
- 26%
- 2FA
- 40
- 51
- 7
- a
- Képes
- hozzáférés
- hozzáférhető
- Fiók
- aktívan
- tevékenységek
- szereplők
- Ad
- hozzáadásával
- mellett
- Ezen kívül
- cím
- érintő
- Után
- újra
- Minden termék
- lehetővé
- lehetővé téve
- lehetővé teszi, hogy
- már
- Is
- mindig
- an
- elemzés
- és a
- angyal
- Másik
- bármilyen
- api
- körülbelül
- alkalmazások
- VANNAK
- körül
- AS
- értékelések
- vagyontárgy
- Eszközök
- társult
- At
- támadás
- Támadások
- Kísérletek
- könyvvizsgálat
- könyvvizsgálat
- ellenőrzések
- Hitelesítés
- automatikusan
- elérhetőség
- tudatában van
- bár
- alapján
- BE
- egyre
- hogy
- között
- tömören
- épít
- de
- by
- TUD
- nem tud
- eset
- Okoz
- központi
- bizonyos
- láncok
- Ellenőrzések
- világos
- kód
- Kódellenőrző
- együttesen
- jön
- teljes
- összetevő
- lefolytatott
- vezető
- megerősít
- Csatlakozás
- tartalmazott
- tartalom
- folytatódik
- szerződés
- szerződések
- ellenőrzés
- ellenőrzések
- összehangolt
- összehangolás
- Megfelelő
- tudott
- kézműves
- Hitelesítő adatok
- Bűnügyi
- Jelenlegi
- Jelenleg
- kár
- DAPP
- DApp fejlesztők
- DApps
- december
- kézbesítés
- Kereslet
- osztályok
- attól
- telepített
- bevezetéséhez
- bevetés
- bevet
- tervezett
- Ellenére
- részletes
- kimutatására
- észlelt
- fejlesztők
- eszköz
- DID
- különböző
- közvetlenül
- Tiltva
- kijelző
- terjesztés
- nem
- kétszeresére
- le-
- csatorna
- lecsapolt
- két
- alatt
- dinamikusan
- minden
- Korai
- ökoszisztéma
- oktat
- bármelyik
- munkavállaló
- alkalmazottak
- engedélyezve
- ösztönzése
- érvényesítése
- vegyenek
- biztosítására
- ERC20
- becslés
- európai
- Még
- EVM
- végrehajtott
- végrehajtó
- létező
- tapasztalt
- Exploit
- Hasznosított
- kiaknázása
- kiterjedt
- külső
- Arc
- hamisítvány
- gyorsabb
- filé
- megállapítások
- öt
- Rögzít
- Összpontosít
- összpontosított
- A
- Korábbi
- ból ből
- alapok
- pénzeszközöket loptak el
- további
- jövő
- szerzett
- valódi
- GitHub
- globálisan
- történik
- hardver
- hardver eszköz
- Legyen
- tekintettel
- kiemeli
- óra
- NYITVATARTÁS
- Hogyan
- azonban
- http
- HTTPS
- azonosító
- Hatás
- végre
- in
- incidens
- beleértve
- Beleértve
- Növelje
- egyéni
- ipar
- Infrastruktúra
- belső
- példa
- helyette
- integrálni
- integrált
- belső
- Internet
- bele
- vizsgálat
- izolált
- IT
- ITS
- maga
- Jáva
- JavaScript
- Kulcs
- a későbbiekben
- legutolsó
- Főkönyv
- kevesebb
- Tőkeáttétel
- könyvtár
- kis
- kiszámításának
- hosszabb
- Elő/Utó
- készült
- karbantartás
- csinál
- malware
- menedzser
- kézzel
- sok
- max-width
- Maximize
- Addig
- intézkedés
- mechanizmusok
- említett
- üzenetek
- Perc
- ellenőrzés
- hónap
- Reggel
- a legtöbb
- kell
- bennszülött
- Természet
- Szükség
- hálózat
- Új
- NFT
- nft tokenek
- rendszerint
- of
- on
- Láncon
- folyamatban lévő
- nyitva
- nyílt forráskódú
- működik
- opció
- or
- érdekében
- szervez
- mi
- ki
- csomag
- partner
- partnerek
- párt
- Elmúlt
- múlt
- Adathalászat
- adathalász támadás
- Hely
- Plató
- Platón adatintelligencia
- PlatoData
- kérem
- pm
- Politikák
- potenciális
- gyakorlat
- előkészített
- jelenlét
- megakadályozása
- Fontossági sorrendet
- eljárás
- Program
- program
- előléptetés
- megfelelően
- védelme
- közzétett
- Nyomja
- gyorsan
- emel
- elérte
- Reagál
- reakció
- új
- utal
- említett
- Sajnálattal
- szabályos
- rendszeresen
- megerősítése
- engedje
- maradt
- emlékeztető
- eltávolítása
- eltávolítása
- jelentést
- raktár
- kéri
- Felbontás
- megoldása
- azok
- eredményez
- Kritika
- felülvizsgálata
- kockázatok
- futásidejű
- s
- forgatókönyv
- biztonság
- biztonság
- lát
- látott
- szolgáltatás
- Szolgáltatások
- ülés
- ülések
- megosztott
- <p></p>
- aláírás
- aláírt
- aláírás
- Egyszerű
- egyszerűen
- okos
- okos szerződés
- Intelligens szerződések
- So
- kifinomult
- forrás
- specializált
- különleges
- kifejezetten
- osztott
- Színpad
- kezdet
- lopott
- biztos
- gyorsan
- Systems
- szabott
- meghozott
- célzott
- célzás
- csapat
- csapat
- technika
- Technológia
- Tether
- mint
- köszönet
- Kösz
- hogy
- A
- A jövő
- azok
- maguk
- akkor
- Ezek
- ők
- Harmadik
- ezt
- három
- csütörtök
- idő
- nak nek
- jelképes
- tokenek
- szerszámok
- Végösszeg
- Képzések
- tranzakció
- Tranzakciók
- transzferek
- Megbízható
- kettő
- típus
- típusok
- megértés
- szerencsétlen
- sajnálatos módon
- Frissítések
- Frissítés
- USDT
- használ
- használt
- használó
- Felhasználók
- segítségével
- legnagyobb
- Igazolás
- ellenőrzése
- változat
- verzió
- Áldozat
- kötet
- pénztárca
- Pénztárcák
- volt
- we
- JÓL
- voltak
- Mit
- Mi
- amikor
- ami
- WHO
- miért
- lesz
- ablak
- val vel
- belül
- nélkül
- dolgozott
- dolgozó
- lenne
- X
- zephyrnet