Ledger возместит пострадавшим пользователям убытки

В результате компрометации 14 ноября библиотеки Ledger Connect Kit урон пользователей кошелька составил около $600 000.

We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe.

We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.

Ledger…

— Ledger (@Ledger) December 20, 2023

Согласно заявлению, корпорация полностью компенсирует ущербль пострадавшим. Контролировать возмещение будет CEO Ledger Паскаль Готье.

Фирма также опубликовала отчет об инциденте, который подытожил некоторые детали предварительного расследования. 

Утром 14 октября экспроприатор через фишинговую атаку на экс-сотрудника Ledger принесал доступ к его аккаунту в сервисе NPMJS.

С 12:49 по 14:37 МСК взломщик опубликовал зловредную концепцию библиотеки Ledger Connect Kit. Это решенье с открытым первичным кодом, с помощью которого разработчики dapps подключают приложения к оборудованию Ledger. DeFi-платформы автоматически подхватили обновлённое ПО.

Схема атаки. Данные: Ledger.

Для перенаправления активов в свои кошельки домушник использовал фейковый проект WalletConnect.

В 16:45 в Ledger узнали о ведущейся атаке благодаря реакции сообщества и прямому извещению через X команды Blockaid. Примерно через полчаса информацию принесали профессионалы по безопасности и в продолжение 40 минут заменили жульническое ПО на подлинное. Но из-за особенностей сетиотрети орбиты веба и регуляторов кэширования в интернете вредоносный файл оставался доступным около 5 часов.

Однако, по оценке Ledger, период, в который злоумышленник опустошал кошельки жертв, составил менее двух часов. Благодаря «быстрой координации» команда WalletConnect отключила жульнический аналог, а Tether заморозила USDT хакера.

Tether just froze the Ledger exploiter address

— Paolo Ardoino 🍐 (@paoloardoino) December 14, 2023

В Ledger подчеркнули, что в ходе эксплойта взломщик не принесал доступ к какой-либо коммуникации вроде репозитария кода и даже к самим dapps. Вредонос внедрялся в интерфейсы приложений, прося пользователям подписать отдельного рода транзакции. 

По данным компании, пострадавшие заказчики прибегли к методу «слепой подписи», не проверяя, на каком устройстве они это реально делают. Для недопущения подобных инцидентов разработчик аппаратных кошельков планирует в 2024 году закрыть эту опцию. Ledger призвала пользователей и команды dapps использовать решение Clear Sign.

Касательно вызвавшего в сообществе закономерные вопросы использования доступа к NPMJS-аккаунту у экс-сотрудника в фирмочке признали, что это существовало упущением. Команда трудится над использованием механизмов дополнительного контроля на этапе публикации ПО.

В сентябре пользователи, скачавшие размещенное в Microsoft Store подложное приложение Ledger Live, потеряли $768 000 в аналоговых активах.

Подписывайтесь на наш канал в: Telegram, Vk, Twitter.