Thư viện Connect Kit của Ledger đã bị xâm phạm sớm hôm nay, ảnh hưởng đến giao diện người dùng của một số ứng dụng phi tập trung (dApps) bao gồm SushiSwap, Kyber, Revoke.cash, Phantom và Zapper. Đáng chú ý, các ví bị ảnh hưởng đều dựa trên Máy ảo Ethereum (EVM).
🚨We have identified and removed a malicious version of the Ledger Connect Kit. 🚨
A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.
Your Ledger device and…
— Ledger (@Ledger) December 14, 2023
Việc khai thác liên quan đến một cuộc tấn công từ phía trước nhằm nhắc nhở người dùng kết nối ví của họ thông qua cửa sổ bật lên, dẫn đến nguy cơ rút token. Thư viện bị xâm nhập đã bị tiêm mã độc, cho phép tin tặc chuyển tiền. Ledger đã xác nhận lỗ hổng và loại bỏ phiên bản độc hại của thư viện, thay thế bằng phiên bản chính hãng.
Ledger cho rằng nguồn gốc của hoạt động khai thác là do một cuộc tấn công lừa đảo nhắm vào một nhân viên cũ, trong đó kẻ xấu có quyền truy cập vào thông tin nội bộ. Phân tích từ CTO của SushiSwap, Matthew Lilley giải thích rằng Ledger đang tải cấu hình JavaScript từ CDN mà không khóa phiên bản tập lệnh. CDN của Ledger sau đó đã bị xâm phạm, dẫn đến nhiều dApp bị lộ.
Tại thời điểm viết bài, Ledger đã xác nhận rằng họ đã cập nhật thành công phiên bản chính hãng của Ledger Connect Kit.
UPDATE: The genuine Ledger Connect Kit 1.1.8 is now fully propagated. Ledger and WalletConnect can confirm that the malicious code was deactivated. You are now safe to use your Ledger Connect Kit. Reminder that that we always encourage clear signing.
— Ledger (@Ledger) December 14, 2023
Một báo cáo từ Ledger cho biết họ đã làm việc với WalletConnect, Chainalysis và Tether để đóng băng ví của kẻ đe dọa. Công ty ví phần cứng cũng cho biết họ đã luân phiên các khóa bí mật để xuất bản lên kho lưu trữ GitHub của mình. Các nhà phát triển xây dựng và tương tác với mã Ledger Connect Kit cũng được thông báo rằng kho lưu trữ NPM hiện ở chế độ chỉ đọc, vô hiệu hóa các yêu cầu đẩy gói NPM trực tiếp để bảo mật dự án. Ledger cũng tuyên bố rằng các thiết bị phần cứng và ứng dụng Ledger Live không bị xâm phạm.
Blockaid, một công ty bảo mật Web3 được tích hợp với các ví tiền điện tử như MetaMask, OpenSea và Rainbow, đã ước tính rằng khoảng 504 nghìn đô la giá trị đã bị xóa trên các dApp do hoạt động khai thác. Theo ước tính chưa được xác minh, việc khai thác ảnh hưởng đến khoảng 180 ví trên Ethereum, Avalanche, Arbitrum, Base, Optimism, Polygon và BSC.
Sau khi các nghị quyết được triển khai, Chủ tịch kiêm Giám đốc điều hành Ledger Paul Gauthier đã ban hành thư thừa nhận tác động bất lợi của việc khai thác.
“Đây là một sự cố cá biệt đáng tiếc. Xin nhắc nhở rằng bảo mật không cố định và Ledger phải liên tục cải thiện các quy trình và hệ thống bảo mật của chúng tôi. Trong lĩnh vực này, Ledger sẽ triển khai các biện pháp kiểm soát bảo mật mạnh mẽ hơn, kết nối quy trình xây dựng của chúng tôi nhằm triển khai bảo mật chuỗi cung ứng phần mềm nghiêm ngặt với kênh phân phối NPM.” Gauthier nói.
Ledger vẫn chưa đưa ra con số chính thức về tác động của việc khai thác dựa trên cuộc điều tra nội bộ và thư từ của họ với những người dùng bị ảnh hưởng.