Ngày báo cáo: 2023-12-20
Ngày xảy ra sự việc: 2023-12-14
Loại sự cố được phát hiện: Truy cập trái phép & Mã độc hại
Báo cáo tóm tắt
Ledger đã phát hiện một lỗ hổng sử dụng Ledger Connect Kit vào thứ Năm, ngày 14 tháng 2023 năm XNUMX. Lỗ hổng này đã chèn mã độc vào bên trong các DApp đang sử dụng Ledger Connect Kit, lừa người dùng EVM DApp ký các giao dịch làm tiêu hao ví của họ. Việc khai thác nhanh chóng được phát hiện và giải pháp được triển khai ngay sau đó. Trong khi đó, một lượng nhỏ người dùng đã rơi vào cuộc tấn công và ký các giao dịch làm cạn kiệt ví của họ.
Lịch Trình Sự Kiện
Giờ của dòng thời gian được trình bày chi tiết bằng cách sử dụng múi giờ Giờ Trung Âu (CET):
2023-12-14: Sáng: Một cựu Nhân viên sổ cái đã trở thành nạn nhân của một cuộc tấn công lừa đảo tinh vi nhằm giành được quyền truy cập vào tài khoản NPMJS của họ, vượt qua 2FA bằng cách sử dụng mã thông báo phiên của cá nhân.
2023-12-14 – 09:49 sáng / 10:44 sáng / 11:37 sáng: Kẻ tấn công đã xuất bản trên NPMJS (trình quản lý gói mã Javascript được chia sẻ giữa các ứng dụng), một phiên bản độc hại của Ledger Connect Kit (ảnh hưởng đến các phiên bản 1.1.5, 1.1.6 và 1.1.7). Mã độc đã sử dụng dự án WalletConnect lừa đảo để định tuyến lại tài sản đến ví của tin tặc.
2023-12-14: 1.45PM: Ledger đã biết về cuộc tấn công đang diễn ra nhờ phản ứng kịp thời của các tác nhân khác nhau trong hệ sinh thái, bao gồm cả Blockaid, người đã liên hệ với nhóm Ledger và chia sẻ thông tin cập nhật về X.
2023-12-14: 2.18PM: Các nhóm công nghệ và bảo mật của Ledger đã được cảnh báo về cuộc tấn công và một phiên bản sửa lỗi Ledger Connect Kit chính hãng đã được các nhóm Ledger triển khai trong vòng 40 phút kể từ khi Ledger biết được. Do tính chất của CDN (Mạng phân phối nội dung) và cơ chế lưu vào bộ nhớ đệm trên Internet, tệp độc hại vẫn có thể truy cập được lâu hơn một chút. Từ khi NPMJS bị xâm phạm đến khi có giải pháp hoàn chỉnh, đã khoảng 5 giờ trôi qua. Tính khả dụng mở rộng của mã độc hại này là kết quả của việc CDN mất nhiều thời gian để truyền bá và cập nhật bộ đệm của nó trên toàn cầu với phiên bản chính hãng, mới nhất của tệp. Bất chấp sự tồn tại của tệp này trong XNUMX giờ, chúng tôi ước tính từ cuộc điều tra của mình rằng khoảng thời gian mà tài sản của người dùng bị tiêu hao tích cực tổng cộng chỉ giới hạn trong chưa đầy XNUMX giờ.
Ledger đã phối hợp nhanh chóng với đối tác WalletConnect của chúng tôi, người đã vô hiệu hóa phiên bản WalletConnect lừa đảo được sử dụng để rút tài sản khỏi người dùng.
2023-12-14: 2.55 giờ XNUMX chiều Dựa trên sự phối hợp của chúng tôi, Tether đã đóng băng USDT của (những) kẻ tấn công (cf. TX).
Phân tích nguyên nhân gốc rễ, phát hiện và biện pháp phòng ngừa
Bối cảnh
Ledger Bộ kết nối là thư viện mã nguồn mở Java Script cho phép các nhà phát triển kết nối DApp của họ với phần cứng Ledger. Nó có thể được tích hợp bằng cách sử dụng Trình tải kết nối-Kit thành phần cho phép DApp tải Connect-Kit trong thời gian chạy từ CDN. Điều này cho phép các nhà phát triển DApp luôn có phiên bản mới nhất của Bộ kết nối mà không cần phải cập nhật thủ công các phiên bản gói và phát hành bản dựng mới. CDN được Ledger sử dụng để phân phối là NPMJS. Hầu hết các DApp đã tích hợp Bộ kết nối bằng cách sử dụng trình tải Connect-Kit đã đề cập.
Trong lần khai thác Ledger Connect Kit, kẻ tấn công không có quyền truy cập vào bất kỳ cơ sở hạ tầng Ledger, kho lưu trữ mã Ledger hoặc chính DApps nào. Kẻ tấn công đã có thể đẩy gói mã độc hại vào CDN thay cho chính Connect-Kit. Mã Connect-Kit độc hại này sau đó được tải động bởi các DApp đã tích hợp trình tải Connect-Kit.
Việc khai thác Ledger Connect Kit nêu bật những rủi ro mà Ledger và ngành phải đối mặt để bảo vệ người dùng, đồng thời đó cũng là một lời nhắc nhở rằng chúng ta cần tiếp tục nâng cao tiêu chuẩn bảo mật xung quanh DApp nơi người dùng sẽ tham gia ký kết dựa trên trình duyệt. Lần này chính dịch vụ của Ledger đã bị khai thác nhưng trong tương lai điều này có thể xảy ra với một dịch vụ hoặc thư viện khác.
Nguyên nhân gốc rễ
Để có thể đẩy gói mã độc trên NPMJS, kẻ tấn công đã lừa đảo một nhân viên cũ để lợi dụng quyền truy cập của cá nhân đó vào NPMJS. Quyền truy cập của nhân viên cũ vào hệ thống của Ledger (bao gồm Github, các dịch vụ dựa trên SSO, tất cả các công cụ Sổ cái nội bộ và công cụ bên ngoài) đã bị thu hồi đúng cách, nhưng rất tiếc quyền truy cập của nhân viên cũ vào NPMJS đã không bị thu hồi đúng cách.
Chúng tôi có thể xác nhận đây là một sự cố cá biệt đáng tiếc. Tuy nhiên, quyền truy cập vào cơ sở hạ tầng Ledger của nhân viên Ledger sẽ tự động bị thu hồi trong quá trình nhân viên nghỉ việc, tuy nhiên, do cách các dịch vụ và công cụ công nghệ hiện tại hiện đang hoạt động trên toàn cầu, chúng tôi không thể tự động thu hồi quyền truy cập vào một số công cụ bên ngoài nhất định (bao gồm NPMJS) và những công cụ này phải được xử lý thủ công bằng một danh sách kiểm tra nhân viên rời khỏi công ty cho từng cá nhân. Sổ cái có quy trình rời khỏi công ty hiện có và được cập nhật thường xuyên, trong đó chúng tôi xóa nhân viên sắp rời khỏi tất cả các công cụ bên ngoài. Trong trường hợp riêng lẻ này, quyền truy cập không bị thu hồi theo cách thủ công trên NPMJS, điều mà chúng tôi rất tiếc và đang kiểm tra với đối tác bên thứ ba bên ngoài.
Đây là một cuộc tấn công tinh vi được thực hiện bởi kẻ tấn công. Mặc dù đã thực thi xác thực hai yếu tố (2FA) trên tài khoản được nhắm mục tiêu NPMJS, điều này thường ngăn cản nhiều nỗ lực, nhưng kẻ tấn công đã phá vỡ biện pháp bảo mật này bằng cách khai thác khóa API được liên kết với tài khoản của nhân viên cũ.
Cuộc tấn công cụ thể này đã cho phép kẻ tấn công tải lên một phiên bản độc hại mới của Ledger Connect Kit chứa thứ được gọi là phần mềm độc hại Angel Drainer. Angel Drainer là một phần mềm độc hại dưới dạng dịch vụ được thiết kế đặc biệt để thực hiện các giao dịch độc hại làm cạn kiệt ví khi ký kết. Đó là một cơ sở hạ tầng hoàn chỉnh chuyên về chuỗi EVM triển khai các hợp đồng thông minh theo yêu cầu và tạo ra các giao dịch phù hợp để tối đa hóa thiệt hại.
Thật không may, NPMJS.com không cho phép xác minh đa ủy quyền hoặc chữ ký để tự động xuất bản. Chúng tôi đang nỗ lực bổ sung các cơ chế đặc biệt để thực thi các biện pháp kiểm soát sâu hơn ở giai đoạn triển khai.
Những phát hiện
Đây là một cuộc tấn công được chuẩn bị kỹ lưỡng được thực hiện bởi (những) kẻ tấn công có kinh nghiệm. Kỹ thuật lừa đảo được triển khai không tập trung vào thông tin xác thực, đó là những gì chúng ta thấy trong hầu hết các cuộc tấn công Front-End ảnh hưởng đến hệ sinh thái, mà thay vào đó, kẻ tấn công làm việc trực tiếp trên mã thông báo phiên.
Phần mềm độc hại được sử dụng là Angel Drainer và nhóm bảo mật Ledger đã nhận thấy trong ba tháng qua có sự gia tăng các hoạt động tội phạm sử dụng phần mềm độc hại này (vui lòng tham khảo tài liệu đã xuất bản này). Báo cáo phong tỏa). Chúng ta cũng có thể thấy trên chuỗi số tiền bị đánh cắp đang được chia: 85% cho kẻ khai thác và 15% cho Angel Drainer, có thể được coi là phần mềm độc hại như một dịch vụ.
Angel Drainer này lừa người dùng ký các loại giao dịch khác nhau tùy thuộc vào loại tài sản mà nó hiện đang nhắm mục tiêu. Đối với token ERC20 và NFT, nó yêu cầu người dùng ký phê duyệt và Giấy phép tin nhắn. Đối với mã thông báo gốc, trình rút tiền yêu cầu người dùng ký một giao dịch “xác nhận quyền sở hữu” giả mạo trong đó xin phương pháp này chỉ đơn giản là quét tiền hoặc chuyển mã thông báo đơn giản mà sau này có thể được quét bằng cách triển khai hợp đồng thông minh tại địa chỉ tương ứng.
Đây là lý do tại sao chúng tôi tiếp tục khuyến khích Clear Signing như một ngành để người dùng có thể xác minh những gì họ thấy trên màn hình đáng tin cậy trên thiết bị phần cứng Ledger của họ.
Các hành động khắc phục hậu quả
Nhóm công nghệ và bảo mật Ledger, bao gồm cả nhóm điều hành Ledger, hiện đang xem xét và kiểm tra tất cả các biện pháp kiểm soát truy cập của chúng tôi trên các công cụ và hệ thống nội bộ và bên ngoài của Ledger mà chúng tôi sử dụng.
Ledger sẽ củng cố các chính sách của mình khi nói đến kiểm soát việc xem xét, triển khai, phân phối và truy cập mã, bao gồm việc thêm tất cả các công cụ bên ngoài vào hoạt động kiểm tra bảo trì và xuất xưởng của chúng tôi. Chúng tôi sẽ tiếp tục khái quát hóa việc ký mã khi có liên quan. Ngoài ra, chúng tôi đang tiến hành kiểm toán nội bộ định kỳ để đảm bảo việc này được thực hiện đúng cách.
Ledger đã tổ chức các buổi đào tạo về bảo mật, bao gồm cả đào tạo về lừa đảo. Chương trình đào tạo an ninh nội bộ cũng sẽ được tăng cường vào đầu năm 2024 cho tất cả nhân viên trong các bộ phận tương ứng của họ. Ledger đã tổ chức các đánh giá bảo mật thường xuyên của bên thứ ba và sẽ tiếp tục ưu tiên các đánh giá này.
Vào đầu năm 2024, một cuộc kiểm tra cụ thể của bên thứ ba sẽ được tiến hành, tập trung vào kiểm soát quyền truy cập, quảng bá và phân phối mã.
Ngoài ra, chúng tôi sẽ củng cố hệ thống cảnh báo và giám sát cơ sở hạ tầng của mình để có thể phát hiện và phản ứng nhanh hơn với các sự cố trong tương lai..
Cuối cùng, chúng tôi sẽ tăng gấp đôi việc ngăn chặn Ký mù, loại bỏ nó như một tùy chọn cho người dùng Sổ cái để đảm bảo các biện pháp bảo mật tối đa và hướng dẫn người dùng về tác động tiềm ẩn của việc ký giao dịch mà không có màn hình an toàn hoặc không hiểu những gì họ đang ký khi không sử dụng Xóa chữ ký.
Chúng tôi một lần nữa xin cảm ơn các đối tác trong hệ sinh thái đã nhanh chóng làm việc với nhóm Ledger để xác định và giải quyết hành vi khai thác.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.ledger.com/blog/security-incident-report
- : có
- :là
- :không phải
- :Ở đâu
- 09
- 1
- 10
- 11
- 15%
- 2023
- 2024
- 26
- 2FA
- 40
- 51
- 53
- 7
- a
- Có khả năng
- truy cập
- có thể truy cập
- Tài khoản
- tích cực
- hoạt động
- diễn viên
- Ad
- thêm
- Ngoài ra
- Ngoài ra
- địa chỉ
- ảnh hưởng đến
- Sau
- một lần nữa
- Tất cả
- cho phép
- Cho phép
- cho phép
- Đã
- Ngoài ra
- luôn luôn
- an
- phân tích
- và
- thiên thần
- Một
- bất kì
- api
- khoảng
- ứng dụng
- LÀ
- xung quanh
- AS
- đánh giá
- tài sản
- Tài sản
- liên kết
- At
- tấn công
- Các cuộc tấn công
- Nỗ lực
- kiểm toán
- kiểm toán
- kiểm toán
- Xác thực
- tự động
- sẵn có
- nhận thức
- thanh
- dựa
- BE
- trở thành
- được
- giữa
- mù
- một thời gian ngắn
- xây dựng
- nhưng
- by
- CAN
- không thể
- trường hợp
- Nguyên nhân
- trung tâm
- nhất định
- chuỗi
- Séc
- trong sáng
- mã
- Đánh giá mã
- chung
- đến
- hoàn thành
- thành phần
- thực hiện
- Tiến hành
- Xác nhận
- Kết nối
- chứa
- nội dung
- tiếp tục
- hợp đồng
- hợp đồng
- điều khiển
- điều khiển
- phối hợp
- phối hợp
- Tương ứng
- có thể
- nghề
- Credentials
- Hình sự
- Current
- Hiện nay
- hư hại
- dapp
- nhà phát triển DApp
- DApps
- Tháng mười hai
- giao hàng
- Nhu cầu
- phòng ban
- Tùy
- triển khai
- triển khai
- triển khai
- triển khai
- thiết kế
- Mặc dù
- chi tiết
- phát hiện
- phát hiện
- phát triển
- thiết bị
- ĐÃ LÀM
- khác nhau
- trực tiếp
- bị vô hiệu hóa
- Giao diện
- phân phối
- làm
- tăng gấp đôi
- xuống
- mương
- thoát nước
- hai
- suốt trong
- năng động
- mỗi
- Đầu
- hệ sinh thái
- giáo dục
- hay
- Công nhân
- nhân viên
- kích hoạt
- khuyến khích
- thực thi
- thuê
- đảm bảo
- ERC20
- ước tính
- Ether (ETH)
- Châu Âu
- Ngay cả
- EVM
- Thực thi
- điều hành
- hiện tại
- kinh nghiệm
- Khai thác
- khai thác
- gia tăng
- ngoài
- Đối mặt
- giả mạo
- nhanh hơn
- Tập tin
- phát hiện
- năm
- Sửa chữa
- Tập trung
- tập trung
- Trong
- Cựu
- từ
- quỹ
- tiền bị đánh cắp
- xa hơn
- tương lai
- đạt được
- chính hãng
- GitHub
- Toàn cầu
- xảy ra
- phần cứng
- thiết bị phần cứng
- Có
- có
- nổi bật
- giờ
- GIỜ LÀM VIỆC
- Độ đáng tin của
- Tuy nhiên
- http
- HTTPS
- xác định
- Va chạm
- thực hiện
- in
- sự cố
- sự cố
- bao gồm
- Bao gồm
- Tăng lên
- hệ thống riêng biệt,
- ngành công nghiệp
- Cơ sở hạ tầng
- trong
- ví dụ
- thay vì
- tích hợp
- tích hợp
- nội bộ
- Internet
- trong
- điều tra
- bị cô lập
- IT
- ITS
- chính nó
- Java
- JavaScript
- Key
- bộ dụng cụ
- một lát sau
- mới nhất
- Ledger
- ít
- Tỉ lệ đòn bẩy
- Thư viện
- ít
- tải
- còn
- Thấp
- thực hiện
- bảo trì
- làm cho
- phần mềm độc hại
- giám đốc
- thủ công
- nhiều
- max-width
- Tối đa hóa
- trong khi đó
- đo
- cơ chế
- đề cập
- tin nhắn
- phút
- giám sát
- tháng
- buổi sáng
- hầu hết
- phải
- tự nhiên
- Thiên nhiên
- Cần
- mạng
- Mới
- NFT
- mã thông báo nft
- Thông thường
- of
- on
- trên chuỗi
- đang diễn ra
- mở
- mã nguồn mở
- hoạt động
- Tùy chọn
- or
- gọi món
- tổ chức
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- gói
- đối tác
- Đối tác
- bên
- thông qua
- qua
- Lừa đảo
- Tấn công lừa đảo
- Nơi
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- xin vui lòng
- pm
- Chính sách
- tiềm năng
- thực hành
- chuẩn bị
- sự hiện diện
- ngăn chặn
- Ưu tiên
- thủ tục
- chương trình
- dự án
- xúc tiến
- đúng
- bảo vệ
- công bố
- Đẩy
- Mau
- nâng cao
- đạt
- Phản ứng
- phản ứng
- gần đây
- lặp lại
- xem
- gọi
- hối tiếc
- đều đặn
- thường xuyên
- củng cố
- phát hành
- có liên quan
- vẫn
- nhắc nhở
- tẩy
- loại bỏ
- báo cáo
- kho
- yêu cầu
- Độ phân giải
- giải quyết
- mà
- kết quả
- xem xét
- xem xét
- rủi ro
- s
- kịch bản
- an toàn
- an ninh
- xem
- đã xem
- dịch vụ
- DỊCH VỤ
- Phiên
- phiên
- chia sẻ
- đăng ký
- chữ ký
- Ký kết
- ký
- Đơn giản
- đơn giản
- thông minh
- hợp đồng thông minh
- Hợp đồng thông minh
- So
- tinh vi
- nguồn
- chuyên nghành
- riêng
- đặc biệt
- chia
- Traineeship
- Bắt đầu
- ăn cắp
- chắc chắn
- nhanh chóng
- hệ thống
- phù hợp
- Lấy
- nhắm mục tiêu
- nhắm mục tiêu
- nhóm
- đội
- kỹ thuật
- Công nghệ
- Tether
- hơn
- cảm tạ
- cảm ơn
- việc này
- Sản phẩm
- Tương lai
- cung cấp their dịch
- tự
- sau đó
- Kia là
- họ
- Thứ ba
- điều này
- số ba
- Thứ năm
- thời gian
- đến
- mã thông báo
- Tokens
- công cụ
- Tổng số:
- Hội thảo
- giao dịch
- Giao dịch
- chuyển
- đáng tin cậy
- hai
- kiểu
- loại
- sự hiểu biết
- thật không may
- không may
- Cập nhật
- Cập nhật
- USDT
- sử dụng
- đã sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- tối đa
- Xác minh
- xác minh
- phiên bản
- nạn nhân
- khối lượng
- ví
- Ví
- là
- we
- TỐT
- là
- Điều gì
- Là gì
- khi nào
- cái nào
- CHÚNG TÔI LÀ
- tại sao
- sẽ
- cửa sổ
- với
- ở trong
- không có
- làm việc
- đang làm việc
- sẽ
- X
- zephyrnet