דברים לדעת: |
- 14 בדצמבר 2023, Ledger חווה ניצול ב- Ledger Connect Kit, ספריית Javascript לחיבור אתרי אינטרנט לארנקים.
- התעשייה שיתפה פעולה עם לדג'ר כדי לנטרל את הניצול ולנסות להקפיא כספים גנובים מהר מאוד - הניצול נמשך למעשה פחות משעתיים. - ניצול זה נחקר כעת, לדג'ר הגיש תלונות ויעזור לאנשים שנפגעו לנסות לגבות כספים. - ניצול זה לא השפיע ואינו משפיע על שלמות החומרה של Ledger או Ledger Live. |
שלום לכולם,
היום חווינו ניצול ב- Ledger Connect Kit, ספריית Javascript המיישמת כפתור המאפשר למשתמשים לחבר את מכשיר ה- Ledger שלהם ל-DApps של צד שלישי (אתרי אינטרנט המחוברים לארנק).
הניצול הזה היה תוצאה של עובד לשעבר שנפל קורבן להתקפת פישינג, שאפשרה לשחקן רע להעלות קובץ זדוני ל-NPMJS של Ledger (מנהל חבילות לקוד Javascript משותף בין אפליקציות).
עבדנו במהירות, לצד השותף שלנו WalletConnect, כדי לטפל בניצול, עדכנו את ה-NPMJS כדי להסיר ולבטל את הקוד הזדוני תוך 40 דקות מרגע הגילוי. זוהי דוגמה טובה לכך שהתעשייה פועלת יחד במהירות כדי להתמודד עם אתגרי אבטחה.
כעת, ברצוני להתייחס למה זה קרה, כיצד נשפר את נוהלי האבטחה שלנו כדי לצמצם את הסיכון הספציפי הזה בעתיד, ולשתף את ההמלצה שלנו לתעשייה, כדי שנוכל להיות חזקים יותר יחד.
הנוהג המקובל ב- Ledger הוא שאף אדם אחד לא יכול לפרוס קוד ללא סקירה על ידי מספר גורמים. יש לנו בקרות גישה חזקות, ביקורות פנימיות וחתימות ריבוי קוד כשמדובר ברוב חלקי הפיתוח שלנו. זה המצב ב-99% מהמערכות הפנימיות שלנו. כל עובד שעוזב את החברה נשללה הגישה שלו מכל מערכת Ledger.
זה היה אירוע בודד ומצער. זוהי תזכורת שאבטחה אינה סטטית, ולדג'ר חייבת לשפר ללא הרף את מערכות האבטחה והתהליכים שלנו. בתחום זה, Ledger תטמיע בקרות אבטחה חזקות יותר, ותחבר את צינור הבנייה שלנו שמיישם אבטחת שרשרת אספקת תוכנה קפדנית לערוץ ההפצה של NPM.
זוהי גם תזכורת שבאופן קולקטיבי עלינו להמשיך ולהעלות את רף האבטחה סביב DApps שבהם המשתמשים יעסקו בחתימה מבוססת דפדפן. זה היה השירות של לדג'ר שניצל הפעם, אבל בעתיד זה יכול לקרות לשירות או ספרייה אחרת.
בלדג'ר, אנו מאמינים שחתימה ברורה, בניגוד לחתימה עיוורת, תעזור להפחית את הבעיות הללו. אם המשתמש יכול לראות על מה הוא חותם בתצוגה מהימנה, ניתן להימנע מחתימה לא מכוונת על עסקאות נוכלות.
מכשירי Ledger הם פלטפורמות פתוחות. ל-Ethereum יש מערכת פלאגין המאפשרת ל-DApps ליישם חתימה ברורה, ו-DApps שירצו ליישם הגנה זו עבור המשתמשים שלהם יכולים ללמוד כיצד באתר developer.ledger.com. באותו אופן שראינו את הקהילה מתכנסת היום, אנו מצפים לעזרתך בהבאת חתימה ברורה לכל ה-DApps.
לדג'ר התקשר עם הרשויות ועושה כל שביכולתנו כדי לעזור בזמן החקירה הזו. Ledger תתמוך במשתמשים המושפעים בסיוע למצוא את השחקן הגרוע הזה, להביא אותם לדין, לעקוב אחר הכספים ולעבוד עם רשויות אכיפת החוק כדי לעזור לשחזר נכסים גנובים מההאקר. אנו מצטערים מאוד על האירועים שהתרחשו היום עבור אנשים שנפגעו.
המצב כעת בשליטה והאיום חלף. אנו מבינים את הפאניקה שזה גרם לקהילה ולמערכת האקולוגית הרחבה יותר.
ציר זמן מלא זמין למטה כדי שתוכל לראות כיצד הצוותים והשותפים שלנו הגיבו.
תודה,
פסקל גוטייה
יו"ר ומנכ"ל
-
הנה ציר הזמן של מה שאנחנו יודעים על הניצול ברגע זה:
הבוקר CET, עובד לדג'ר לשעבר נפל קורבן להתקפת פישינג שקיבלה גישה לחשבון ה-NPMJS שלהם. התוקף פרסם גרסה זדונית של ערכת Ledger Connect (המשפיעה על גרסאות 1.1.5, 1.1.6 ו-1.1.7). הקוד הזדוני השתמש בפרויקט WalletConnect נוכל כדי לנתב מחדש כספים לארנק האקרים. צוותי הטכנולוגיה והאבטחה של לדג'ר קיבלו התראה ותיקון נפרס תוך 40 דקות מהיוודעה של לדג'ר. הקובץ הזדוני היה פעיל במשך כ-5 שעות, אולם אנו מאמינים שהחלון שבו ניקוז הכספים הוגבל לפרק זמן של פחות משעתיים. Ledger מתואם עם WalletConnect שהשבית במהירות את הפרויקט הנוכל. ערכת Ledger Connect המקורית והמאומתת גרסה 1.1.8 מתפשטת כעת ובטוחה לשימוש.
עבור בונים שמפתחים ומקיימים אינטראקציה עם קוד Ledger Connect Kit: צוות הפיתוח של connect-kit בפרויקט NPM הם כעת לקריאה בלבד ואינם יכולים לדחוף ישירות את חבילת NPM מטעמי בטיחות. החלפנו באופן פנימי את הסודות לפרסום ב- GitHub של Ledger. מפתחים, אנא בדוק שוב שאתה משתמש בגרסה העדכנית ביותר, 1.1.8.
Ledger, יחד עם WalletConnect והשותפים שלנו, דיווחו על כתובת הארנק של השחקן הגרוע. הכתובת גלויה כעת ב-Chainalysis. Tether הקפיא את USDT של השחקן הרע.
אנו מזכירים למשתמשים תמיד לנקות סימן עם הפנקס שלך. מה שאתה רואה במסך לדג'ר הוא מה שאתה חותם בפועל. אם אתה עדיין צריך לחתום עיוור, השתמש בארנק Ledger mint נוסף או נתח את העסקה שלך באופן ידני. אנו משוחחים באופן פעיל עם לקוחות שהכספים שלהם עשויים להיות מושפעים, ופועלים באופן יזום כדי לעזור לאותם אנשים בשלב זה. אנחנו גם מגישים תלונה ועובדים עם רשויות אכיפת החוק על החקירה כדי למצוא את התוקף. נוסף על כך, אנו חוקרים את הניצול כדי למנוע התקפות נוספות. אנו מאמינים שהכתובת של התוקף שבה התרוקנו הכספים נמצאת כאן: 0x658729879fca881d9526480b82ae00efc54b5c2d
ברצוננו להודות ל- WalletConnect, Tether, Chainalysis, zachxbt ולכל הקהילה שעזרה לנו ולהמשיך לעזור לנו לזהות ולפתור את המתקפה הזו במהירות. הביטחון תמיד ינצח בעזרת המערכת האקולוגית כולה.
צוות לדג'ר
גרסה צרפתית:
Un Message de Pascal Gauthier, יו"ר ומנכ"ל de Ledger, sur l'exploitation du Ledger Connect Kit
נקודות חשובות: |
– ב-14 בדצמבר 2023, Ledger fait face à une explication du Ledger Connect Kit, une bibliothèque Javascript permettant de connecter des sites Web à des portefeuilles crypto.
– L'industrie a collaboré avec Ledger pour neutraliser l'exploitation et tenter de geler rapidement les fonds volés – l'exploitation a eu lieu durant moins de deux heures. – Cette exploitation est actuellement en cours d'investigation. Ledger a déposé des plaintes et s'efforcera d'aider les personnes affectées à récupérer leurs fonds. – Cette exploitation n'a pas affecté et n'affecte pas la sécurité des portefeuilles physiques Ledger ni de Ledger Live. – ניצול מוגבל של יישומים מרכזיים המשמשים את ערכת Ledger Connect. |
שלום לכולם,
Aujourd'hui, ללא ספק מתעמת עם ניצול יחיד של Ledger Connect Kit, ביבליוטיקה של Javascript אינטגרנטית ו-bouton permettant aux utilisateurs de connecter או appareil Ledger à des applications décentralisées tierces.
Cette situation est liée au fait qu'un ancien employé a été victime d'une attaque de phishing, permettant à un acteur malveillant de télécharger un fichier malveillant sur le NPMJS de Ledger (un gestionnaire de packages pour le code les Javascript application partagé entre) .
Notre réaction a été rapide et coordonnée avec notre partenaire WalletConnect pour remédier à la situation. לאחר 40 דקות לאחר זיהוי בן, יש צורך ב-NPMJS לזיהוי קוד מזערי. Cet épisode témoigne de l'efficacité de l'industrie travaillant de concert pour surmonter d'importants défis de sécurité.
Abordons Maintenant les raisons de cet incident et expliquons comment nous renforcerons nos pratiques de sécurité pour atténuer ce risque spécifique à l'avenir. Nous partageons également nos recommandations avec l'industrie pour renforcer notre שיתוף פעולה.
Chez Ledger, la norme de sécurité stipule qu'aucune personne seule ne peut déployer du code sans qu'il soit examiné par plusieurs parties, une pratique appliquée dans 99% de nos systèmes interns. בנוסף, התחלת עובדת היזמות של החברה והגישה למערכת לדג'ר.
Cet תקרית, malheureux et isolé, souligne que la sécurité est en constante évolution, nécessitant une amélioration continue de nos systemes. בהקשר זה, Ledger mettra en place des contrôles de sécurité renforcés, liant notre chaîne de construction qui applique une sécurité stricte de la chaîne d'approvisionnement au canal de distribution NPM.
Il est également rappelé que collectivement, nous devons élever les normes de sécurité autour des applications décentralisées (DApps) où les utilisateurs interagissent avec des signatures basées sur le navigateur. Bien que cette fois-ci ce soit le service de Ledger qui a été exploité, cela pourrait se produire à l'avenir avec un autre service ou bibliothèque.
Chez Ledger, nous cryons en l'efficacité du clear-signing par rapport au sign-up sign pour atténuer ces problèmes. Si l'utilisateur peut voir ce qu'il signe sur un écran de confiance, la signature involontaire de transakations frauduleuses pourra toujours être évitée.
Les appareils Ledger sont des plates-formes ouvertes. Ethereum מציעה מערכת תוספות קבועה ליישום DApps לחתימה ברורה. Les développeurs intéressés peuvent en savoir plus sur developer.ledger.com. Tout comme nous avons vu la communauté se mobiliser aujourd'hui, nous attendons votre aide pour intégrer le clear-signing à toutes les DApps.
Ledger coopère avec les autorités et prend toutes les mesures possibles pour aider dans l'enquête en cours. Nous soutiendrons les utilisateurs affectés en identifiant l'acteur malveillant, en le traduisant en justice, en retrouvant les fonds et en collaborant avec les forces de l'ordre pour récupérer les actifs volés. Nous retrettons profondément les événements d'aujourd'hui pour les personnes touchées.
La situation est Maintenant Sous Contrôle, la Menace écartée. Nous comprenons l'inquiétude que cela a pu causer dans la communauté et l'écosystème. Vous trouverez ci-dessous une chronologie complète pour voir comment nos équipes et partenaires ont réagi.
תודה,
פסקל גוטייה
-
Voici la chronologie de ce que nous savons sur l'exploitation à l'heure actuelle:
Ce matin, (CET), איש עתיק יומין של לדג'ר הוא אחד הקורבן של דיוג עם הרשאה ל-Hacker d'acceder בבן NPMJS. להאקר פורסמה גירסה של Ledger Connect Kit (המשפיעות על גרסאות 1.1.5, 1.1.6 ו-1.1.7). קוד שימושי ופרויקט WalletConnect הונאה כדי לשחזר את המסמכים מול פורטוגל האקר. Les équipes de sécurité de Ledger, ו-Equipes de sécurité de Ledger, ו-equipe a été déployée ב-40 דקות לאחר פרס המצפון של לדג'ר. Le fichier malveillant était actif pendant environ 5 heures, mais nous pensons que la fenêtre pendant laquelle les fonds ont été détournés était limitée à moins de deux heures. ספר חשבונות עם שיתוף פעולה עם WalletConnect, הוא ביטול מהיר של הונאה מפרויקט. La version authentique et vérifiée du Ledger Connect Kit, La version 1.1.8, est désormais en propagation et peut être utilisée en toute sécurité.
Pour les développeurs qui travailent sur le code du Ledger Connect Kit: l'équipe de développement du connect-kit sur le projet NPM est désormais en lecture seule et ne peut pas pousser directement le package NPM par mesure de sécurité. Nous avons changé les secrets pour la publication sur GitHub de Ledger. Pour les développeurs: veuillez vérifier à nouveau que vous utilisez la dernière version, la 1.1.8.
Ledger, בשיתוף פעולה עם WalletConnect et nos partners, a signé l'adresse du portefeuille du malfaiteur. L'adresse est désormais visible sur Chainalysis. Tether a gelé les USDT du malfaiteur.
Nous rappelons aux utilisateurs de toujours "סימן ברור" ועסקאות עם votre Ledger. Ce que vous voyez sur l'écran de Ledger est ce que vous signez réellement. אם אתה חותם את החוזה, נצל את ה-portefeuille mint לדג'ר supplémentaire או לנתח את העסקה המונומנטלית. Nous sommes en contact actif avec les clients dont les fonds pourraient avoir été affectés et travaillons de manière proactive pour les aider en ce moment. Nous déposons également une plainte et collaborons avec les forces de l'ordre dans le cadre de l'enquête pour retrouver l'attaquant. De plus, nous étudions l'exploitation afin d'éviter de futures attacks. Nous pensons que l'adresse de l'attaquant où les fonds ont été détournés est la suivante: 0x658729879fca881d9526480b82ae00efc54b5c2d
Nous tenons à remercier WalletConnect, Tether, Chainalysis, zachxbt et toute la communauté qui nous ont aidés et continunt de nous aider à identifier rapidement et à résoudre cette attaque. La sécurité prévaudra toujours avec l'aide de l'ensemble de l'ecosystème.
L'équipe de Ledger
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit
- :יש ל
- :הוא
- :לֹא
- :איפה
- 1
- 13
- 14
- 14th
- 2023
- 40
- 7
- 8
- a
- אודות
- גישה
- חֶשְׁבּוֹן
- באופן פעיל
- למעשה
- נוסף
- כתובת
- להשפיע על
- מושפע
- משפיע
- שוב
- תעשיות
- מותר
- מאפשר
- מאפשר
- לאורך
- בַּצַד
- גם
- תמיד
- an
- ו
- אחר
- כל
- יישומים
- אפליקציות
- ARE
- AREA
- סביב
- AS
- נכסים
- At
- לתקוף
- המתקפות
- רשויות
- זמין
- לְהִמָנַע
- נמנע
- מודע
- רע
- בָּר
- BE
- התהוות
- היה
- להיות
- תאמינו
- להלן
- בֵּין
- להביא
- מביאים
- רחב
- לִבנוֹת
- בוני
- אבל
- לַחְצָן
- by
- CAN
- מקרה
- גרם
- מנכ"ל
- אלה
- שרשרת
- שרשרת
- יו"ר
- האתגרים
- ערוץ
- לבדוק
- ברור
- לקוחות
- קוד
- שיתף פעולה
- שיתוף פעולה
- יַחַד
- איך
- מגיע
- הערה
- קהילה
- חברה
- תלונה
- תלונות
- קונצרט
- לְחַבֵּר
- מקשר
- בניה
- צור קשר
- להמשיך
- ברציפות
- לִשְׁלוֹט
- בקרות
- מתואם
- יכול
- קריפטו
- כיום
- לקוחות
- DAPs
- לפרוס
- פרס
- מפתח
- מפתחים
- מתפתח
- צעצועי התפתחות
- צוות הפיתוח
- מכשיר
- התקנים
- DID
- ישירות
- נכה
- תגלית
- לְהַצִיג
- הפצה
- עושה
- עושה
- לא
- סחוט
- E&T
- המערכת האקולוגית
- יעילות
- עובד
- אַכִיפָה
- לעסוק
- מאורס
- ethereum
- EU
- אירועים
- כל
- כולם
- דוגמה
- מנוסה
- לנצל
- ניצול
- ומנוצל
- פָּנִים
- נפילה
- שלח
- הוגש
- תיוק
- לסדר
- בעד
- כוחות
- לשעבר
- קדימה
- להקפיא
- החל מ-
- קפוא
- מלא
- כספים
- נוסף
- עתיד
- עתידים
- צבר
- אמיתי
- GitHub
- טוב
- האקר
- לקרות
- קרה
- חומרה
- יש
- לעזור
- עזר
- עזרה
- כאן
- שעות
- איך
- אולם
- HTTPS
- הזדהות
- מזהה
- לזהות
- if
- ליישם
- מיישמים
- לשפר
- in
- תקרית
- אנשים
- תעשייה
- שלמות
- אינטראקציה
- פנימי
- כלפי פנים
- חקירה
- מְבוּדָד
- בעיות
- IT
- JavaScript
- שופט
- לדעת
- האחרון
- חוק
- אכיפת החוק
- לִלמוֹד
- קריאה
- פנקס
- ספר לדג'ר לייב
- מערכת ספרי חשבונות
- עזבו
- פחות
- מכתב
- סִפְרִיָה
- מקום
- כמו
- מוגבל
- לחיות
- נראה
- מנהל
- באופן ידני
- הודעה
- יכול
- נענע
- דקות
- להקל
- רֶגַע
- בוקר
- רוב
- מספר
- צריך
- ne
- צורך
- לא
- עַכשָׁיו
- of
- on
- יש
- לפתוח
- מִתנַגֵד
- or
- להזמין
- שלנו
- חבילה
- חבילות
- בהלה
- צדדים
- שותף
- שותפים
- חלקים
- צד
- פסקל גוטייה
- עבר
- תליון
- תקופה
- אדם
- דיוג
- התקפת דיוג
- צינור
- מקום
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אנא
- חיבור
- ועוד
- תרגול
- פרקטיקות
- פרואקטיבי
- תהליכים
- פּרוֹיֶקט
- .
- פרסום
- לפרסם
- לאור
- דחוף
- מהירות
- להעלות
- סיבות
- המלצה
- להחלים
- בדבר
- להתחרט
- תזכורת
- להסיר
- דווח
- תוצאה
- סקירה
- חוות דעת של לקוחותינו
- הסיכון
- ריצה
- בטוח
- בְּטִיחוּת
- אותו
- ראה
- מסך
- סודות
- אבטחה
- לִרְאוֹת
- שרות
- שיתוף
- משותף
- סִימָן
- חֲתִימָה
- חתימות
- חתימה
- יחיד
- אתרים
- מצב
- So
- תוכנה
- שרשרת אספקת תוכנה
- לפתור
- שלה
- ספציפי
- תֶקֶן
- סטטי
- עוד
- גָנוּב
- כספים גנובים
- קפדן
- חזק
- חזק יותר
- לומד
- לספק
- שרשרת אספקה
- תמיכה
- במהירות
- מערכת
- מערכות
- מדבר
- נבחרת
- צוותי
- טכנולוגיה
- לִקְשׁוֹר
- מֵאֲשֶׁר
- להודות
- זֶה
- השמיים
- העתיד
- שֶׁלָהֶם
- אותם
- אלה
- הֵם
- שְׁלִישִׁי
- זֶה
- אלה
- איום
- זמן
- ציר זמן
- ל
- היום
- יַחַד
- חלק עליון
- לעקוב
- עסקה
- עסקות
- מהימן
- לנסות
- שתיים
- UN
- תחת
- להבין
- חסר מזל
- עדכון
- us
- USDT
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- באמצעות
- מְאוּמָת
- גרסה
- גירסאות
- מאוד
- קרבן
- נראה
- ארנק
- ארנקים
- היה
- דֶרֶך..
- we
- אינטרנט
- היו
- מה
- מתי
- אשר
- מי
- כל
- של מי
- למה
- יצטרך
- חלון
- עם
- בתוך
- לְלֹא
- תיק עבודות
- עבד
- עובד
- היה
- אתה
- Zachxbt
- זפירנט