事情要知道 |
– 14 年 2023 月 XNUMX 日,Ledger 在 Ledger Connect Kit(一个用于将网站连接到钱包的 Javascript 库)上遇到了漏洞。
– 该行业与 Ledger 合作消除了该漏洞,并试图快速冻结被盗资金——该漏洞实际上运行了不到两个小时。 – 此漏洞目前正在调查中,Ledger 已提出投诉,并将帮助受影响的个人尝试追回资金。 – 此漏洞过去和现在都不会影响 Ledger 硬件或 Ledger Live 的完整性。 |
大家好,
今天,我们遇到了 Ledger Connect Kit 的漏洞,这是一个 Javascript 库,它实现了一个按钮,允许用户将其 Ledger 设备连接到第三方 DApp(钱包连接的网站)。
此漏洞是一名前员工成为网络钓鱼攻击受害者的结果,该攻击允许不良行为者将恶意文件上传到 Ledger 的 NPMJS(应用程序之间共享的 Javascript 代码的包管理器)。
我们与合作伙伴 WalletConnect 迅速合作,解决了该漏洞,并更新了 NPMJS,以便在发现后 40 分钟内删除并停用恶意代码。 这是业界迅速合作应对安全挑战的一个很好的例子。
现在,我想谈谈为什么会发生这种情况,我们将如何改进我们的安全实践以减轻未来的这种特定风险,并向业界分享我们的建议,以便我们能够共同变得更强大。
Ledger 的标准做法是,任何人都无法在未经多方审查的情况下部署代码。 对于我们开发的大部分部分,我们都有强大的访问控制、内部审查和代码多重签名。 我们99%的内部系统都是这种情况。 任何离开公司的员工都将被撤销对每个 Ledger 系统的访问权限。
这是一起不幸的孤立事件。 这提醒我们,安全性不是静态的,Ledger 必须不断改进我们的安全系统和流程。 在这一领域,Ledger 将实施更强大的安全控制,将我们实施严格软件供应链安全的构建管道连接到 NPM 分发渠道。
这也提醒我们,我们需要共同继续提高 DApp 的安全标准,用户将在其中进行基于浏览器的签名。 这次是 Ledger 的服务被利用,但将来其他服务或图书馆可能会发生这种情况。
在 Ledger,我们相信明确签名(而不是盲目签名)将有助于缓解这些问题。 如果用户可以在受信任的显示器上看到他们签署的内容,则可以避免无意中签署欺诈交易。
账本设备是开放平台。 以太坊有一个插件系统,允许 DApp 实现清晰签名,想要为其用户实现这种保护的 DApp 可以了解如何 在developer.ledger.com上。 就像我们今天看到社区聚集在一起一样,我们期待您的帮助,为所有 DApp 带来清晰的签名。
莱杰已与当局接洽,并在调查展开时尽我们所能提供帮助。 Ledger 将支持受影响的用户,帮助找到这个不良行为者,将他们绳之以法,追踪资金,并与执法部门合作,帮助从黑客手中追回被盗的资产。 我们对今天发生的针对受影响个人的事件深感遗憾。
目前局势已经得到控制,威胁已经过去。 我们理解这给社区和更广泛的生态系统造成的恐慌。
下面提供了完整的时间表,以便您可以了解我们的团队和合作伙伴的反应。
谢谢,
Pascal Gauthier
董事长兼CEO
-
以下是我们目前对该漏洞的了解的时间表:
今天早上(欧洲中部时间),一名前 Ledger 员工成为网络钓鱼攻击的受害者,该攻击获得了其 NPMJS 帐户的访问权限。 攻击者发布了 Ledger Connect Kit 的恶意版本(影响版本 1.1.5、1.1.6 和 1.1.7)。 恶意代码使用流氓 WalletConnect 项目将资金重新路由到黑客钱包。 Ledger 的技术和安全团队收到了警报,并在 Ledger 发现后 40 分钟内部署了修复程序。 该恶意文件的存活时间约为 5 小时,但我们认为资金被耗尽的时间窗口仅限于不到两个小时。 Ledger 与 WalletConnect 协调,后者迅速禁用了该流氓项目。 正版且经过验证的 Ledger Connect Kit 版本 1.1.8 现已发布,可以安全使用。
对于正在开发 Ledger Connect Kit 代码并与之交互的构建者:NPM 项目上的 connect-kit 开发团队现在是只读的,出于安全原因无法直接推送 NPM 包。 我们已在内部轮换秘密以在 Ledger 的 GitHub 上发布。 开发者,请再次检查您是否使用的是最新版本1.1.8。
Ledger 与 WalletConnect 和我们的合作伙伴一起报告了不良行为者的钱包地址。 该地址现在在 Chainaanalysis 上可见。 Tether 冻结了坏人的 USDT。
我们提醒用户始终使用 Ledger 进行 Clear Sign。 您在账本屏幕上看到的就是您实际签署的内容。 如果您仍然需要盲签名,请使用额外的 Ledger mint 钱包或手动解析您的交易。 我们正在积极与资金可能受到影响的客户进行交谈,并积极主动地帮助这些人。 我们还提出投诉,并与执法部门合作进行调查,以找到攻击者。 最重要的是,我们正在研究该漏洞以避免进一步的攻击。 我们相信攻击者的资金被耗尽的地址在这里:0x658729879fca881d9526480b82ae00efc54b5c2d
我们要感谢 WalletConnect、Tether、Chainaanalysis、zachxbt 以及帮助我们并继续帮助我们快速识别和解决此攻击的整个社区。 在整个生态系统的帮助下,安全始终会占上风。
账本团队
法语版本:
Ledger 董事长兼首席执行官 Pascal Gauthier 就 Ledger Connect Kit 的开发致辞
要点: |
– 14 年 2023 月 XNUMX 日,Ledger 面临 Ledger Connect Kit 的利用,该图书馆使用 Javascript 永久连接网站 Web 和加密货币。
– L'industrie a collaboré avec Ledger pour 中和剂 l'exploitation et teter de geler rapidement les fons volés – l'exploitation eu lieu durant moins deux heures. – Cette 开发是在调查过程中执行的。 账簿存放在受保护人的手中,并有效帮助他们恢复自己的财产。 – 对 Ledger Live 的 Ledger 身体的影响和安全影响。 – 使用 Ledger Connect Kit 的去中心化应用程序的开发受到限制。 |
Bonjour一种TOUS,
今天,我们将面临 Ledger Connect Kit 的利用,以及 Javascript 集成和应用程序 Ledger 连接器的永久使用,以及分布式应用程序的使用。
这种情况是古代员工遭受网络钓鱼攻击的受害者,是 NPMJS 的 Ledger 上的恶意攻击者(在应用程序中使用 Javascript 代码管理包) 。
请与我们合作伙伴 WalletConnect 快速做出反应并协调以补救情况。 在 40 分钟后的儿子识别中,我们今天在 NPMJS 上消除并消除了恶意代码。 这是工业界努力提高安全重要程度的努力的一集。
放弃对这些事件的原因和说明的评论,以减少未来的具体风险。 我们共同致力于加强合作。
Chez Ledger,规范的安全规定,要求个人在没有代码的情况下对高级当事人进行审查,并在 99% 的内部系统中进行实践应用。 此外,所有员工都将退出企业并访问所有 Ledger 系统。
上述事件、损坏和孤立、安全问题随着不断的发展,需要继续对系统进行改进。 在上下文中,Ledger mettra en place des controls de sécurité renforces, liant notre chain de Construction qui applique une sécurité stricte de la d'approvisionnement au canal de distribution NPM.
在集体中,我们遵循去中心化应用程序 (DApp) 的安全规范,或者使用基于导航的签名进行交互。 如果您想利用 Ledger 的服务,可以利用其他服务或图书馆来生产产品。
Chez Ledger 认为,通过明确签名和盲签名来缓解问题是有效的。 如果您使用了信任签名,则交易欺诈的签名会在您的一生中发生。
Les appareils Ledger sont desplates-formes ouvertes。 以太坊提供永久的插件系统和 DApps 的实现和清晰签名。 开发者在技能方面更加出色 苏尔developer.ledger.com。 今天我们一起动员社区,我们将帮助您为 DApp 进行清晰签名。
Ledger coopère avec les autorités et prend toutes les mesures possibles pour aider dans l'enquete en course. 我们必须对那些恶意行为者、正义者、正义者和合作者施加影响,以恢复行动的秩序。 我们对近期发生的事情深表遗憾。
情况是需要控制的,威胁是存在的。 我们知道社区和生态系统中存在的不安。 您将在我们的年表中完整地了解有关装备和零件的评论。
谢谢,
Pascal Gauthier
-
以下是我们现在的利用情况的年表:
今天(欧洲中部时间),一名 Ledger 的老员工因 NPMJS 的黑客攻击而成为网络钓鱼攻击的受害者。 黑客发布了 Ledger Connect Kit 的恶意版本(影响版本 1.1.5、1.1.6 和 1.1.7)。 恶意代码利用 WalletConnect 项目进行欺诈,以防止黑客攻击。 Ledger 的安全设备已发出警报,并在 Ledger 良心奖之后的 40 分钟内更正部署。 5 小时内的活跃吊坠,可在两小时内使用。 与 WalletConnect 合作进行分类帐,可快速消除欺诈项目。 Ledger Connect Kit 的真实版本和验证版本,版本 1.1.8,是在传播和使用方面的安全性。
Ledger Connect Kit 代码的开发工作:NPM 项目的 connect-kit 开发工具是在讲座中进行的,不需要直接指导 NPM 包的安全措施。 我们将改变 GitHub de Ledger 上出版物的秘密。 请开发人员:使用最新版本 1.1.8 验证新功能。
Ledger 与 WalletConnect et nospartenaires 合作,这是一个恶意地址的信号。 L'adresse est désormais可见的链分析。 将 USDT 与恶意行为挂钩。
日常使用中的“清晰标志”是交易和账本之间的“清晰标志”。 您可以通过 Ledger 的签名来查看。 如果您要使用签名人的签名,请使用记账本的补充或分析交易操作。 我们需要与客户保持联系,不要在任何时候都积极主动地采取主动行动。 我们之间的关系是一种平淡和合作,是一种力量,是一种反叛力量的力量。 另外,我们还研究了未来攻击中的利用。 后面的地址是 0x658729879fca881d9526480b82ae00efc54b5c2d
我们使用 WalletConnect、Tether、Chainaanalysis、zachxbt 等工具进行交流,并继续使用标识符快速识别和快速攻击。 始终确保生态系统的安全。
莱杰队
- :具有
- :是
- :不是
- :在哪里
- 1
- 13
- 14
- 14日
- 2023
- 40
- 7
- 8
- a
- 关于
- ACCESS
- 账号管理
- 积极地
- 通
- 额外
- 地址
- 影响
- 影响
- 影响
- 再次
- 所有类型
- 允许
- 允许
- 允许
- 沿
- 靠
- 还
- 时刻
- an
- 和
- 另一个
- 任何
- 应用领域
- 应用
- 保健
- 国家 / 地区
- 围绕
- AS
- 办公室文员:
- At
- 攻击
- 攻击
- 当局
- 可使用
- 避免
- 避免
- 察觉
- 坏
- 酒吧
- BE
- 成为
- 很
- 作为
- 相信
- 如下。
- 之间
- 带来
- 瞻
- 更广泛
- 建立
- 建设者
- 但是
- 按键
- by
- CAN
- 案件
- 造成
- CEO
- CES
- 链
- chainalysis
- 主席
- 挑战
- 渠道
- 查
- 清除
- 客户
- 码
- 合作
- 合作
- 统
- 如何
- 购买的订单均
- 评论
- 社体的一部分
- 公司
- 抱怨
- 投诉
- 音乐会
- 分享链接
- 连接
- 施工
- CONTACT
- 继续
- 一直
- 控制
- 控制
- 协调
- 可以
- 加密
- 目前
- 合作伙伴
- DApps
- 部署
- 部署
- 开发商
- 开发
- 发展
- 研发支持
- 开发团队
- 设备
- 设备
- DID
- 直接
- 禁用
- 发现
- 屏 显:
- 分配
- 不
- 做
- 别
- 倒掉
- Ë&T
- 生态系统
- 只
- 员工
- 强制
- 从事
- 从事
- 复仇
- EU
- 事件
- 所有的
- 每个人
- 例子
- 有经验
- 利用
- 开发
- 剥削
- 面部彩妆
- 落下
- 文件
- 提交
- 备案
- 找到最适合您的地方
- 固定
- 针对
- 部队
- 前
- 向前
- 冻结
- 止
- 冻结
- ,
- 资金
- 进一步
- 未来
- 期货
- 获得
- 真正
- GitHub上
- 非常好
- 黑客
- 发生
- 发生
- 硬件
- 有
- 帮助
- 帮助
- 帮助
- 相关信息
- HOURS
- 创新中心
- 但是
- HTTPS
- 鉴定
- 识别码
- 鉴定
- if
- 实施
- 器物
- 改善
- in
- 事件
- 个人
- 行业中的应用:
- 诚信
- 互动
- 内部
- 内部
- 调查
- 孤立
- 问题
- IT
- JavaScript的
- 司法
- 知道
- 最新
- 法律
- 执法
- 学习用品
- 阅读
- 莱杰
- Ledger Live
- 分类帐系统
- 左
- 减
- 邮件
- 自学资料库
- 代替
- 喜欢
- 有限
- 生活
- 看
- 经理
- 手动
- 的话
- 可能
- 薄荷
- 分钟
- 减轻
- 时刻
- 早上
- 最先进的
- 多
- 必须
- ne
- 需求
- 没有
- 现在
- of
- on
- 有
- 打开
- 反对
- or
- 秩序
- 我们的
- 包
- 包
- 恐慌
- 各方
- 合伙人
- 伙伴
- 部分
- 党
- Pascal Gauthier
- 通过
- 垂饰
- 期间
- 人
- 钓鱼
- 网络钓鱼攻击
- 管道
- 地方
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 请
- 插入
- 加
- 在练习上
- 做法
- 主动
- 过程
- 项目
- 保护
- 出版物
- 发布
- 出版
- 推
- 很快
- 提高
- 原因
- 推荐
- 恢复
- 关于
- 遗憾
- 提醒
- 去掉
- 报道
- 导致
- 检讨
- 评论
- 风险
- 运行
- 安全
- 实现安全
- 同
- 锯
- 屏风
- 秘密
- 保安
- 看到
- 服务
- Share
- 共用的,
- 签署
- 签名
- 签名
- 签约
- 单
- 网站
- 情况
- So
- 软件
- 软件供应链
- 解决
- 是
- 具体的
- 标准
- 静止
- 仍
- 被盗
- 被盗资金
- 监督
- 强烈
- 强
- 留学
- 供应
- 供应链
- SUPPORT
- 如飞
- 系统
- 产品
- 说
- 团队
- 队
- 专业技术
- 系链
- 比
- 感谢
- 这
- 未来
- 其
- 他们
- 博曼
- 他们
- 第三
- Free Introduction
- 那些
- 威胁
- 次
- 时间表
- 至
- 今晚
- 一起
- 最佳
- 跟踪时
- 交易
- 交易
- 信任
- 尝试
- 二
- UN
- 下
- 理解
- 不幸
- 更新
- us
- USDT
- 使用
- 用过的
- 用户
- 用户
- 运用
- 专利
- 版本
- 版本
- 非常
- 受害者
- 可见
- 钱包
- 钱包
- 是
- 方法..
- we
- 卷筒纸
- 为
- 什么是
- ,尤其是
- 这
- WHO
- 全
- 谁的
- 为什么
- 将
- 窗口
- 中
- 也完全不需要
- 工作
- 工作
- 加工
- 将
- 完全
- 您一站式解决方案
- 扎克比特
- 和风网