Хакери атакували код сервісу авторизації в гаманці Ledger, який широко використовується в децентралізованих програмах (dApp). Про це повідомили представники Ledger на своїй сторінці у соцмережі X.
Зловмисник замінив справжню версію Ledger Connect Kit на фейкову. Представники компанії запевняють, що їм вдалося усунути шкідливий код, але протягом кількох годин він впливав на більшість популярних децентралізованих сервісів, таких як Curve, SushiSwap, Zapper та Revoke.cash.
FINAL TIMELINE AND UPDATE TO CUSTOMERS:
— Ledger (@Ledger) December 14, 2023
4:49pm CET:
Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.
The investigation continues, here is the timeline of what we know about…
Вразливість не стосувалася програмного забезпечення апаратних гаманців від Ledger, але під час використання сервісу LedgerConnect для входу в dApp в них запускався шкідливий код. Адміністратори відомих платформ підтвердили проблему, тимчасово відключили онлайн-інтерфейс на своїх сайтах і рекомендували користувачам утриматися від використання будь-яких застосунків, доки ситуація не буде вирішена.
Попереднє розслідування показало, що хакер отримав доступ до облікового запису в сервісі NPMJS через фішингову атаку на ексспівробітника Ledger. Розміщений шкідливий файл проіснував близько п’яти годин, але проміжок, протягом якого здійснювалася крадіжка коштів, команда оцінила у дві години. Для виведення активів зловмисник задіяв WalletConnect, який вимкнув гаманець скамера.
Суму збитків не озвучено, проте компанія повідомила, що зв'язалася з постраждалими клієнтами та обговорила питання компенсації.
Це не перший скандал, в який потрапляє Ledger. Раніше неабияке невдоволення користувачів викликав запуск функції Recover, яка передбачає поділ seed-фрази на три частини. Зберігання мають здійснювати три різних кастодіани: Ledger, Coincover та EscrowTech.
На думку користувачів, є можливість того, що самі компанії-посередники можуть відновити ключі користувачів без їхнього відома. Через масштабну критику Ledger спочатку прийняв рішення відкласти випуск функції Recover, але згодом все ж таки зважився на її впровадження.
Варто також наголосити, що компанія зазнає певних фінансових труднощів, через які їй довелося скоротити близько 12% співробітників. Коментуючи ситуацію, у Ledger послалися на «несприятливі ринкові умови».
Як показує практика, попри свою захищеність, гарячі гаманці можуть бути скомпрометовані. Стартапу в галузі кібербезпеки Unciphered вдалося зламати популярний апаратний гаманець Trezor Model T виробництва Satoshi Labs. Фахівці Unciphered продемонстрували вилучення seed-фрази з використанням апаратної вразливості, що базується на фізичному володінні пристроєм. У компанії уточнили, що цей злам можливий лише в тому випадку, якщо зловмисник має фізичний доступ до апаратного гаманця.