Asjad teada: |
- 14. detsembril 2023 koges Ledger Javascripti teegi Ledger Connect Kit ärakasutamist veebisaitide ühendamiseks rahakotiga.
- Tööstus tegi koostööd Ledgeriga, et ärakasutamine kahjutuks teha ja varastatud raha väga kiiresti külmutada – ärakasutamine kestis tegelikult vähem kui kaks tundi. - Seda ärakasutamist praegu uuritakse, Ledger on esitanud kaebused ja aitab mõjutatud isikutel raha tagasi nõuda. – See ärakasutamine ei mõjuta ega mõjuta Ledgeri riistvara ega Ledger Live'i terviklikkust. |
Tere kõigile,
Täna kogesime ära Ledger Connect Kit – Javascripti teegi, mis rakendab nuppu, mis võimaldab kasutajatel ühendada oma Ledgeri seadme kolmanda osapoole DAppidega (rahakotiga ühendatud veebisaidid).
See ärakasutamine oli tingitud sellest, et endine töötaja langes andmepüügi rünnaku ohvriks, mis võimaldas halval näitlejal laadida üles pahatahtliku faili Ledgeri NPMJS-i (rakenduste vahel jagatud Javascripti koodi paketihaldur).
Töötasime koos oma partneri WalletConnectiga kiiresti ärakasutamise kõrvaldamiseks, värskendades NPMJS-i, et eemaldada ja desaktiveerida pahatahtlik kood 40 minuti jooksul pärast avastamist. See on hea näide tööstuse kiirest koostööst turvaprobleemide lahendamisel.
Nüüd tahaksin käsitleda, miks see juhtus, kuidas me täiustame oma turvatavasid, et seda konkreetset riski tulevikus maandada, ja jagada oma soovitust tööstusele, et saaksime koos tugevamad olla.
Ledgeri tavapärane praktika on see, et ükski inimene ei saa koodi juurutada ilma mitme osapoole poolt läbi vaatamata. Enamiku arenduse osade puhul on meil tugevad juurdepääsukontrollid, sisemised ülevaatused ja mitmekordsed koodid. See on nii 99% meie sisesüsteemidest. Kõigil ettevõttest lahkuvatel töötajatel tühistatakse juurdepääs igast pearaamatusüsteemist.
See oli kahetsusväärne üksikjuhtum. See tuletab meelde, et turvalisus ei ole staatiline ja Ledger peab meie turvasüsteeme ja -protsesse pidevalt täiustama. Selles valdkonnas rakendab Ledger tugevamaid turvakontrolle, ühendades meie ranget tarkvara tarneahela turvalisust rakendava konveieri NPM-i turustuskanaliga.
See on ka meeldetuletus, et ühiselt peame jätkuvalt tõstma DAppide turvalisuse latti, kus kasutajad osalevad brauseripõhises allkirjastamises. Seekord kasutati Ledgeri teenust, kuid tulevikus võib see juhtuda mõne muu teenuse või raamatukoguga.
Ledgeris usume, et selge allkirjastamine, mitte pime allkirjastamine, aitab neid probleeme leevendada. Kui kasutaja näeb usaldusväärsel kuval, mida ta allkirjastab, saab vältida petturite tehingute tahtmatut allkirjastamist.
Pearaamatu seadmed on avatud platvormid. Ethereumil on pistikprogrammide süsteem, mis võimaldab DAppidel rakendada selget allkirjastamist ja DApp-id, kes soovivad seda kaitset oma kasutajate jaoks rakendada, saavad õppida, kuidas saidil developer.ledger.com. Samamoodi, nagu nägime, kuidas kogukond täna kokku tuli, ootame teie abi kõigi DAppide selge allkirjastamisel.
Ledger on suhelnud ametiasutustega ja teeb kõik endast oleneva, et uurimise käigus aidata. Ledger toetab mõjutatud kasutajaid selle halva näitleja leidmisel, kohtu ette toomisel, rahade jälgimisel ja teeb koostööd õiguskaitseorganitega, et aidata häkkerilt varastatud vara tagasi saada. Kahetseme sügavalt sündmusi, mis täna mõjutatud isikute jaoks juhtusid.
Olukord on nüüd kontrolli all ja oht on möödas. Mõistame paanikat, mida see kogukonnas ja laiemalt ökosüsteemis tekitas.
Allpool on saadaval täielik ajaskaala, et saaksite näha, kuidas meie meeskonnad ja partnerid reageerisid.
tänan teid,
Pascal Gauthier
Esimees ja tegevjuht
-
Siin on ajaskaala selle kohta, mida me selle ärakasutamise kohta praegu teame:
Täna hommikul CET langes endine pearaamatutöötaja andmepüügi rünnaku ohvriks, mis sai juurdepääsu nende NPMJS-i kontole. Ründaja avaldas Ledger Connect Kit pahatahtliku versiooni (mõjutab versioone 1.1.5, 1.1.6 ja 1.1.7). Pahatahtlik kood kasutas raha häkkerite rahakotti ümbersuunamiseks petturitest WalletConnecti projekti. Ledgeri tehnoloogia- ja turvameeskondi hoiatati ning parandus võeti kasutusele 40 minuti jooksul pärast seda, kui Ledger sellest teada sai. Pahatahtlik fail oli reaalajas umbes 5 tundi, kuid usume, et raha tühjendamise aken oli piiratud vähem kui kahe tunniga. Ledger kooskõlastas WalletConnectiga, kes keelas petturliku projekti kiiresti. Ehtne ja kontrollitud Ledger Connect Kit versioon 1.1.8 levib nüüd ja seda on ohutu kasutada.
Ehitajatele, kes arendavad Ledger Connect Kit koodi ja suhtlevad sellega: NPM-projekti ühenduse komplekti arendusmeeskond on nüüd kirjutuskaitstud ega saa ohutuse huvides NPM-paketti otse edasi lükata. Oleme Ledgeri GitHubis avaldamiseks sisemiselt vahetanud saladusi. Arendajad, kontrollige uuesti, kas kasutate uusimat versiooni 1.1.8.
Ledger koos WalletConnecti ja meie partneritega on teatanud halva näitleja rahakoti aadressist. Aadress on nüüd Chainalysisis nähtav. Tether on külmutanud halva näitleja USDT.
Tuletame kasutajatele meelde, et nad peavad oma pearaamatus alati märkima. See, mida näete pearaamatu ekraanil, on see, mida te tegelikult allkirjastate. Kui teil on siiski vaja pimeallkirja anda, kasutage täiendavat Ledger mint rahakotti või sõeluge tehing käsitsi. Räägime aktiivselt klientidega, kelle rahalisi vahendeid võis see mõjutada, ja töötame ennetavalt, et neid inimesi praegu aidata. Samuti esitame kaebuse ja töötame õiguskaitseorganitega ründaja leidmiseks uurimisel. Lisaks sellele uurime ärakasutamist, et vältida edasisi rünnakuid. Usume, et ründaja aadress, kust raha väljastati, on siin: 0x658729879fca881d9526480b82ae00efc54b5c2d
Soovime tänada WalletConnecti, Tetherit, Chainalysist, zachxbt ja kogu kogukonda, kes meid aitasid ning aitavad meil seda rünnakut kiiresti tuvastada ja lahendada. Turvalisus valitseb alati kogu ökosüsteemi abiga.
Ledgeri meeskond
Prantsuse versioon:
Pascal Gauthieri teade, Ledgeri esimees ja tegevjuht, Ledger Connect Kit
Punktid: |
– 14. detsember 2023, Ledger fait face à une exploitation du Ledger Connect Kit, une bibliothèque Javascript permettant de connecter des sites à des portefeuilles crypto.
– L'industrie a collaboré avec Ledger pour neutraliser l'exploitation et tenter de geler rapidement les fonds volés – l'exploitation a eu lieu durant moins de deux heures. – Cette exploitation est actuellement en cours d'investigation. Ledger a déposé des plaintes et s'efforcera d'aider les personnes affectées à récupérer leurs fonds. – Cette exploitation n'a pas affecté et n'affecte pas la sécurité des portefeuilles physiques Ledger ni de Ledger Live. – L'exploitation était limitée Aux Applications decentralisées Tierces qui utilisent Ledger Connect Kit. |
Tere kõigile,
Aujourd'hui, nous avons été confrontés à une exploitation du Ledger Connect Kit, une bibliothèque Javascript intégrant un bouton permettant aux utilisateurs de connecter leur appareil Ledger à des Applications decentralisées taserces.
Cette situatsioon est liée au fait qu'un ancien Employé a été ohver d'une attaque de phishing, permettant à un acteur malveillant de télécharger un fichier malveillant sur le NPMJS de Ledger (un gestionnaire de paketid in enter le codere le coderes Javascript parta) .
Notre réaction a été rapide et coordonnée avec notre partenaire WalletConnect pour remédier à la olukorda. Dans les 40 minutes suivant son identifikation, nous avons mis à jour le NPMJS pour éliminer et désactiver le code malveillant. Cet épisode témoigne de l'eficacité de l'industrie travaillant de concert pour surmonter d'importants défis de sécurité.
Abordons maintenant les raisons de cet incident et expliquons comment nous renforcerons nos pratiques de sécurité pour atténuer ce risque spécifique à l'avenir. Nous partageons également nos recommandations avec l'industrie pour renforcer notre koostööd.
Chez Ledger, la norme de sécurité stipule qu'aucune personalne seule ne peut déployer du code sans qu'il soit examiné par plusieurs Partys, une pratique appliquée dans 99% de nos systemes internes. De plus, tout employé quitant l'entreprise voit son accès révoqué de tous les systèmes Ledger.
Cet juhtum, malheureux et isolé, souligne que la sécurité est en constante évolution, nécessitant une amélioration Jätka de nos systèmes. Dans ce kontekste, Ledger mettra en place des contrôles de sécurité renforcés, liant notre chaîne de construction qui applique une sécurité stricte de la chaîne d'approvisionnement au canal de distribution NPM.
Il est également rappelé que kollektiiv, nous devons élever les normes de sécurité autour des applications décentralisées (DApps) où les utilisateurs interagissent avec des signatures basées sur le navigateur. Bien que cette fois-ci ce soit le service de Ledger qui a été exploité, cela pourrait se produire à l'avenir avec un autre service ou bibliothèque.
Chez Ledger, nous croyons en l'eficacité du clear-signing par rapport au blind-signing pour atténuer ces problèmes. Si l'utilisateur peut voir ce qu'il signe sur un écran de confiance, la signature involontaire de transactions frauduleuses pourra toujours être évitée.
Les appareils Ledger sont des plates-formes ouvertes. Ethereum pakub püsivat lisandmoodulite süsteemi, mis võimaldab selget allkirjastamist rakendada. Les développeurs intéressés peuvent en savoir plus sur developer.ledger.com. Tout comme nous avons vu la communauté se mobiliser aujourd'hui, nous attendons votre aide vala integrer le clear-signing à toutes les DApps.
Ledger coopère avec les autorités et prend toutes les mesures possibles pour aider dans l'enquête en cours. Nous soutiendrons les utilisateurs affectés en identifiant l'acteur malveillant, en le traduisant en justice, en retrouvant les fonds et en collaborant avec les forces de l'ordre pour récupérer les actifs volés. Nous regrettons profondément les événements d'aujourd'hui pour les personnes touchées.
La olukord est maintenant sous contrôle, la menace écartée. Nous comprenons l'inquiétude que cela a pu põhjustaja dans la communauté et l'écosystème. Vous trouverez ci-dessous une chronologie complète pour voir comment nos équipes et partenaires ont réagi.
tänan teid,
Pascal Gauthier
-
Voici la chronologie de ce que nous savons sur l'exploitation à l'heure actuelle:
Ce matin, (CET), un ancien Employé de Ledger a été ohver d'une attaque de phishing qui a un accéder à son compte NPMJS. Häkker avaldab Ledger Connect Kit'i malveillante versiooni (mõjutavad versioonid 1.1.5, 1.1.6 ja 1.1.7). Kood malveillant utilisait ühe WalletConnecti pettuse projekti jaoks, mis on seotud fondide ümberjuhtimisega häkkerite portaaliga. Les équipes de sécurité de Ledger ont été alertées, et une parandus a été déployée dans les les 40 minutes suivant la award de dessacience par Ledger. Le fichier malveillant était actif pendant environ 5 heures, mais nous pensons que la fenêtre pendant laquelle les fonds ont été détournés était limitée à moins de deux heures. Pearaamat koos koostööga WalletConnecti kaudu, mis on kiire pettuseprojekti aeglane. Authentique et vérifiée du Ledger Connect Kit, versioon 1.1.8, est désormais en propagation et peut être utilisée en toute sécurité.
Pour les développeurs qui travaillent sur le code du Ledger Connect Kit: l'équipe de développement du connect-kit sur le projet NPM est dessormais en loengu seule et ne peut pas pousser directionement le packet NPM par mesure de sécurité. Nous avons changé les secrets pour la GitHub de Ledger. Pour les développeurs: veuillez vérifier à nouveau que vous utilisez la dernière versioon, la 1.1.8.
Pearaamat, koostöö avec WalletConnect et nos partenaires, a signalé l'adresse du portefeuille du malfaiteur. L'adresse est désormais nähtav sur Chainalysis. Tether a gelé les USDT du malfaiteur.
Nous rappelons aux utilisateurs de toujours "selge märk" vos tehingud avec votre Ledger. Ce que vous voyez sur l'écran de Ledger est ce que vous signez réellement. Si vous devez toujours signer de manière aveugle, utilisez un portefeuille mint Ledger supplémentaire ou analysez votre tehingu manuellement. Nous sommes en contact actif avec les clients dont les fonds pourraient avoir été affectés et travaillons de manière proactive pour les aider en ce moment. Nous déposons également une plainte et collaborons avec les forces de l'ordre dans le cadre de l'enquête pour retrouver l'attaquant. De plus, nous étudions l'exploitation afin d'éviter de futures attaques. Nous pensons que l'adresse de l'attaquant où les fonds ont été détournés est la suivante : 0x658729879fca881d9526480b82ae00efc54b5c2d
Nous tenons à remercier WalletConnect, Tether, Chainalysis, zachxbt et toute la communauté qui nous ont aidés et jatkuva de nous aider à identifier rapidement et à résoudre cette attaque. La sécurité prévaudra toujours avec l'aide de l'ensemble de l'écosystème.
L'équipe de Ledger
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit
- :on
- :on
- :mitte
- : kus
- 1
- 13
- 14
- 14.
- 2023
- 40
- 7
- 8
- a
- MEIST
- juurdepääs
- konto
- aktiivselt
- tegelikult
- Täiendavad lisad
- aadress
- mõjutada
- mõjutatud
- mõjutades
- jälle
- Materjal: BPA ja flataatide vaba plastik
- lubatud
- Lubades
- võimaldab
- mööda
- kõrval
- Ka
- alati
- an
- ja
- Teine
- mistahes
- rakendused
- apps
- OLEME
- PIIRKOND
- ümber
- AS
- vara
- At
- rünnak
- Reageerib
- Asutused
- saadaval
- vältima
- vältida
- teadlik
- Halb
- baar
- BE
- saada
- olnud
- on
- Uskuma
- alla
- vahel
- pime
- tooma
- Toomine
- laiem
- ehitama
- ehitajad
- kuid
- nupp
- by
- CAN
- juhul
- põhjustatud
- tegevjuht
- need
- kett
- kettalüüs
- eesistuja
- väljakutseid
- Kanal
- kontrollima
- selge
- kliendid
- kood
- koostööd teinud
- koostöö
- kollektiivselt
- Tulema
- tuleb
- kommentaar
- kogukond
- ettevõte
- kaebus
- kaebuste
- kontsert
- Võta meiega ühendust
- ühendamine
- ehitus
- kontakt
- jätkama
- pidevalt
- kontrollida
- kontrolli
- koordineeritud
- võiks
- krüpto
- Praegu
- Kliendid
- DApps
- de
- juurutada
- lähetatud
- arendaja
- Arendajad
- arenev
- & Tarkvaraarendus
- arendusmeeskond
- seade
- seadmed
- DID
- otse
- blokeeritud
- avastus
- Ekraan
- jaotus
- ei
- teeme
- Ära
- tühjendatud
- E&T
- ökosüsteemi
- tõhusalt
- Töötaja
- jõustamine
- tegelema
- hõivatud
- Eeter (ETH)
- ethereum
- EU
- sündmused
- Iga
- igaüks
- näide
- kogenud
- Ekspluateeri
- kasutamine
- Exploited
- nägu
- Langev
- fail
- esitatud
- Esitamine
- leidma
- Määrama
- eest
- relvajõud
- endine
- edasi
- Külmutama
- Alates
- külmutatud
- täis
- raha
- edasi
- tulevik
- Futuurid
- saadud
- ehtne
- GitHub
- hea
- häkker
- juhtuda
- juhtus
- riistvara
- Olema
- aitama
- aitas
- aidates
- siin
- Lahtiolekuajad
- Kuidas
- aga
- HTTPS
- Identifitseerimine
- tunnus
- identifitseerima
- if
- rakendada
- tööriistad
- parandama
- in
- juhtum
- inimesed
- tööstus
- terviklikkuse
- suhtlevad
- sisemine
- sisemiselt
- uurimine
- isoleeritud
- küsimustes
- IT
- JavaScript
- Õiglus
- komplekt
- Teadma
- la
- hiljemalt
- Seadus
- õiguskaitse
- Õppida
- lugemine
- pearaamat
- Ledger Live
- lahkus
- vähem
- kiri
- Raamatukogu
- nagu
- piiratud
- elama
- Vaata
- pahatahtlik
- juht
- käsitsi
- ähvardus
- sõnum
- võib
- piparmünt
- protokoll
- Leevendada
- hetk
- hommik
- kõige
- mitmekordne
- peab
- ne
- Vajadus
- ei
- nüüd
- of
- on
- olema
- avatud
- vastupidine
- or
- et
- meie
- pakend
- pakette
- Paanika
- isikutele
- partner
- partnerid
- osad
- partei
- Pascal Gauthier
- Vastu võetud
- ripats
- periood
- inimene
- Phishing
- õngevõtmiskatset
- torujuhe
- Koht
- Platvormid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- palun
- plugin
- pluss
- tava
- tavad
- Proaktiivne
- Protsessid
- projekt
- paljundamine
- paljundamine
- kaitse
- avaldamine
- avaldama
- avaldatud
- Lükkama
- kiiresti
- tõstma
- põhjustel
- Soovitus
- Taastuma
- kohta
- kahetsema
- meeldetuletus
- kõrvaldama
- Teatatud
- kaasa
- läbi
- Arvustused
- Oht
- jooksmine
- ohutu
- ohutus
- sama
- nägin
- Ekraan
- saladusi
- turvalisus
- turvasüsteemid
- vaata
- teenus
- Jaga
- jagatud
- kirjutama
- allkiri
- Allkirjad
- allkirjastamine
- ühekordne
- Saidid
- olukord
- So
- tarkvara
- tarkvara tarneahel
- LAHENDAGE
- selle
- konkreetse
- standard
- staatiline
- Veel
- varastatud
- varastatud raha
- range
- tugev
- tugevam
- Õppimine
- varustama
- tarneahelas
- toetama
- kiiresti
- süsteem
- süsteemid
- rääkimine
- meeskond
- meeskonnad
- Tehnoloogia
- Tether
- kui
- tänama
- et
- .
- Tulevik
- oma
- Neile
- Need
- nad
- Kolmas
- see
- need
- oht
- aeg
- ajakava
- et
- täna
- kokku
- ülemine
- jälgida
- tehing
- Tehingud
- Usaldatud
- püüdma
- kaks
- UN
- all
- mõistma
- kahetsusväärne
- ajakohastamine
- us
- USDT
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutamine
- kinnitatud
- versioon
- versioonid
- väga
- Ohver
- nähtav
- rahakott
- Rahakotid
- oli
- Tee..
- we
- web
- olid
- M
- millal
- mis
- WHO
- kogu
- kelle
- miks
- will
- aken
- koos
- jooksul
- ilma
- Töö
- töötas
- töö
- oleks
- sa
- Sinu
- Zachxbt
- sephyrnet