Хакеры атаковали код сервиса авторизации в кошельке Ledger, который широко используется в децентрализованных приложениях (dApp). Об этом сообщили представители Ledger на своей странице в соцсети X.
Злоумышленник заменил подлинную версию Ledger Connect Kit на фейковую. Представители компании уверяют, что им удалось устранить вредоносный код, но в течение нескольких часов он влиял на большинство популярных децентрализованных сервисов, таких как Curve, SushiSwap, Zapper и Revoke.cash.
FINAL TIMELINE AND UPDATE TO CUSTOMERS:
— Ledger (@Ledger) December 14, 2023
4:49pm CET:
Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.
The investigation continues, here is the timeline of what we know about…
Уязвимость не касалась программного обеспечения аппаратных кошельков от Ledger, но при использовании сервиса LedgerConnect для входа в dApp в них запускался вредоносный код. Администраторы известных платформ подтвердили проблему, временно отключили онлайн-интерфейс на своих сайтах и рекомендовали пользователям воздержаться от использования любых приложений, пока ситуация не будет разрешена.
Предварительное расследование показало, что хакер получил доступ к аккаунту в сервисе NPMJS через фишинговую атаку на экс-сотрудника Ledger. Размещенный вредоносный файл просуществовал около 5 часов, но промежуток, в котором происходила кража средств, команда оценила в 2 часа. Для вывода активов злоумышленник задействовал WalletConnect, который отключил кошелек скамера.
Сумма ущерба не озвучена, однако компания сообщила, что связалась с пострадавшими клиентами и обсудила вопрос компенсации.
Стоит отметить, что это не первый скандал, в который попадает Ledger. Ранее большое недовольство пользователей вызвал запуск функции Recover, которая предусматривает разделение seed-фразы на три части. Хранение должны осуществлять три разных кастодиана: Ledger, Coincover и EscrowTech.
По мнению пользователей, существует вероятность, что сами компании-посредники могут восстановить ключи пользователей без их ведома. Из-за масштабной критики Ledger изначально принял решение отложить выпуск функции Recover, но впоследствии все же решился на ее внедрение.
Стоит также подчеркнуть, что компания испытывает определенные финансовые трудности, из-за которых ей пришлось сократить около 12% сотрудников. Комментируя ситуацию, в Ledger сослались на «неблагоприятные рыночные условия».
Как показывает практика, несмотря на свою защищенность, горячие кошельки могут быть скомпрометированы. Стартапу в области кибербезопасности Unciphered удалось взломать популярный аппаратный кошелек Trezor Model T производства Satoshi Labs. Специалисты Unciphered продемонстрировали извлечение seed-фразы с использованием аппаратной уязвимости, основанной на физическом владении устройством. В компании уточнили, что данный взлом возможен только в том случае, если злоумышленник имеет физический доступ к аппаратному кошельку.