Cointime

Cointime

Download App
iOS & Android

Bí ẩn Ledger Connect Kit bị hack

Validated Project

Bởi: Lisa & Shan @ Đội bảo mật Slow Mist

Theo thông tin tình báo từ nhóm bảo mật SlowMist, vào tối ngày 14 tháng 12 năm 2023, giờ Bắc Kinh, Ledger Connect Kit đã bị tấn công chuỗi cung ứng và kẻ tấn công đã kiếm được ít nhất 600.000 USD.

Đội ngũ bảo mật SlowMist ngay lập tức can thiệp vào phân tích và đưa ra cảnh báo sớm:

Theo thông tin tình báo từ nhóm bảo mật SlowMist, vào tối ngày 14 tháng 12 năm 2023, giờ Bắc Kinh, Ledger Connect Kit đã bị tấn công chuỗi cung ứng và kẻ tấn công đã kiếm được ít nhất 600.000 USD.

Đội ngũ bảo mật SlowMist ngay lập tức can thiệp vào phân tích và đưa ra cảnh báo sớm:

Hiện tại, sự việc đã chính thức được giải quyết và đội ngũ bảo mật SlowMist hiện chia sẻ thông tin khẩn cấp như sau:

mốc thời gian

Vào lúc 7:43 tối, người dùng Twitter @g4sarah tuyên bố rằng giao thức quản lý tài sản DeFi Zapper bị nghi ngờ đã bị tấn công.

Vào lúc 8:30 tối, Giám đốc Công nghệ của Sushi, Matthew Lilley đã đưa ra cảnh báo trên Twitter: “Người dùng được yêu cầu không tương tác với bất kỳ dApp nào cho đến khi có thông báo mới. Trình kết nối Web3 thường được sử dụng (thư viện JavaScript, một phần của dự án phản ứng web3) Nó bị nghi ngờ đã bị xâm phạm, cho phép tiêm mã độc ảnh hưởng đến nhiều dApp." Sau đó, nó tuyên bố rằng Ledger có thể có mã đáng ngờ. Nhóm bảo mật SlowMist ngay lập tức tuyên bố rằng họ đang theo dõi và phân tích sự việc này.

Lúc 8:56 tối, Revoke.cash đã tweet: “Nhiều ứng dụng mật mã phổ biến được tích hợp với thư viện Ledger Connect Kit, bao gồm Revoke.cash, đã bị xâm phạm. Chúng tôi đã tạm thời đóng cửa trang web. Chúng tôi khuyên bạn nên sửa lỗ hổng này. các trang web được mã hóa trong thời gian khai thác." Sau đó, dự án DEX chuỗi chéo Kyber Network cũng tuyên bố rằng vì thận trọng, nó đã vô hiệu hóa giao diện người dùng front-end cho đến khi tình hình rõ ràng.

Vào lúc 9:31 tối, Ledger cũng đưa ra lời nhắc: “Chúng tôi đã xác định và xóa phiên bản độc hại của Ledger Connect Kit. Chúng tôi hiện đang đẩy phiên bản chính hãng để thay thế các tệp độc hại. Không tương tác với bất kỳ dApps nào trong thời điểm hiện tại. Nếu có tình huống mới, chúng tôi sẽ thông báo cho bạn. Thiết bị Ledger và Ledger Live của bạn không bị xâm phạm."

Vào lúc 9:32 tối, MetaMask cũng đưa ra lời nhắc: “Trước khi người dùng thực hiện bất kỳ giao dịch nào trên MetaMask Portfolio, vui lòng đảm bảo rằng chức năng Blockaid đã được bật trong tiện ích mở rộng MetaMask”.

Tác động tấn công

Nhóm bảo mật SlowMist ngay lập tức bắt đầu phân tích mã liên quan. Chúng tôi phát hiện kẻ tấn công đã cấy mã JS độc hại vào phiên bản @ledrhq/connect-kit =1.1.5/1.1.6/1.1.7 và trực tiếp thay thế mã thông thường bằng lớp Drainer Logic cửa sổ sẽ không chỉ bật lên cửa sổ bật lên DrainerPopup giả mạo mà còn xử lý logic chuyển của nhiều nội dung khác nhau. Tấn công lừa đảo vào người dùng tiền điện tử thông qua phân phối CDN.

Phạm vi phiên bản bị ảnh hưởng:

@ledrhq/connect-kit 1.1.5 (Kẻ tấn công đã đề cập đến Inferno trong mã, có lẽ là để tỏ lòng tôn kính với Inferno Drainer, một nhóm lừa đảo chuyên lừa đảo đa chuỗi)

@ledrhq/connect-kit 1.1.6 (Kẻ tấn công để lại tin nhắn trong mã và cấy mã JS độc hại)

@ledrhq/connect-kit 1.1.7 (Kẻ tấn công để lại tin nhắn trong mã và cấy mã JS độc hại)

Ledger cho biết bản thân ví Ledger không bị ảnh hưởng nhưng các ứng dụng tích hợp thư viện Ledger Connect Kit lại bị ảnh hưởng.

Tuy nhiên, nhiều ứng dụng sử dụng Ledger Connect Kit (như SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash, v.v.) và tác động sẽ chỉ lớn hơn.

Tuy nhiên, nhiều ứng dụng sử dụng Ledger Connect Kit (như SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash, v.v.) và tác động sẽ chỉ lớn hơn.

Với cuộc tấn công này, kẻ tấn công có thể thực thi mã tùy ý với cùng cấp độ quyền với ứng dụng. Ví dụ: kẻ tấn công có thể ngay lập tức rút hết tiền của người dùng mà không cần tương tác; xuất bản một số lượng lớn liên kết lừa đảo để khiến người dùng bị lừa; và thậm chí lợi dụng sự hoảng loạn của người dùng, người dùng cố gắng chuyển tài sản sang một địa chỉ mới, nhưng tải xuống ví giả, dẫn đến mất tài sản.

Phân tích kỹ thuật và chiến thuật

Chúng tôi đã phân tích tác động của cuộc tấn công ở trên và suy đoán dựa trên kinh nghiệm khẩn cấp trước đây rằng đây có thể là một cuộc tấn công lừa đảo kỹ thuật xã hội được tính toán trước.

Theo một tweet từ @0xSentry, một trong những dấu vết kỹ thuật số mà những kẻ tấn công để lại liên quan đến tài khoản Gmail của @JunichiSugiura (Jun, cựu nhân viên của Ledger), tài khoản này có thể đã bị xâm phạm và Ledger đã quên xóa quyền truy cập của nhân viên.

Vào lúc 11:09 tối, các quan chức đã xác nhận suy đoán này - một cựu nhân viên của Ledger đã trở thành nạn nhân của một cuộc tấn công lừa đảo:

1) Kẻ tấn công đã giành được quyền truy cập vào tài khoản NPMJS của nhân viên;

2) Kẻ tấn công đã phát hành phiên bản độc hại của Ledger Connect Kit (1.1.5, 1.1.6 và 1.1.7);

3) Kẻ tấn công sử dụng WalletConnect độc hại để chuyển tiền đến địa chỉ ví của hacker thông qua mã độc.

Hiện tại, Ledger đã phát hành Ledger Connect Kit phiên bản 1.1.8 chính hãng và đã được kiểm chứng, vui lòng nâng cấp kịp thời.

Mặc dù phiên bản Ledger npmjs bị nhiễm độc đã bị xóa nhưng vẫn còn các tệp js bị nhiễm độc trên jsDelivr:

https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

Lưu ý có thể có sự chậm trễ do yếu tố CDN, khuyến nghị chính thức là đợi 24 giờ trước khi sử dụng Ledger Connect Kit.

Chúng tôi khuyến nghị rằng khi các bên dự án xuất bản các nguồn nhân bản dựa vào CDN của bên thứ ba, họ phải nhớ khóa các phiên bản có liên quan để ngăn chặn tác hại do các bản phát hành độc hại và các bản cập nhật tiếp theo gây ra. (gợi ý từ @galenyuan)

Hiện tại, quan chức này đã chấp nhận những đề xuất liên quan và tôi tin rằng chiến lược sẽ được thay đổi tiếp theo:

Sổ cái chính thức thời gian cuối cùng:

Phân tích theo dõi sương mù

Khách hàng máy thoát nước: 0x658729879fca881d9526480b82ae00efc54b5c2d

Địa chỉ phí thoát nước: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

Theo phân tích của MistTrack, kẻ tấn công (0x658) đã kiếm được ít nhất 600.000 USD và có liên quan đến nhóm lừa đảo Angel Drainer.

Phương thức tấn công chính của băng đảng Angel Drainer là tiến hành các cuộc tấn công kỹ thuật xã hội nhằm vào các nhà cung cấp dịch vụ tên miền và nhân viên.Nếu quan tâm, bạn có thể nhấp vào để đọc Dark "Angel" - Tiết lộ của băng nhóm lừa đảo Angel Drainer .

Angel Drainer(0x412) hiện nắm giữ tài sản trị giá gần 363.000 USD.

Theo Mạng thông minh về mối đe dọa SlowMist, những phát hiện sau đã được đưa ra:

1) IP 168.*.*.46, 185.*.*.167

2) Kẻ tấn công đã đổi một số ETH lấy XMR

Lúc 11:09 PM, Tether đã đóng băng địa chỉ của kẻ khai thác Ledger. Ngoài ra, MistTrack đã chặn các địa chỉ liên quan và sẽ tiếp tục theo dõi những thay đổi về quỹ.

Tóm tắt

Sự cố này một lần nữa chứng minh rằng bảo mật DeFi không chỉ liên quan đến bảo mật hợp đồng mà còn là bảo mật nói chung.

Một mặt, vụ việc này cho thấy những vi phạm an ninh chuỗi cung ứng có thể dẫn đến hậu quả nghiêm trọng. Phần mềm độc hại và mã độc có thể được cài vào các phần khác nhau của chuỗi cung ứng phần mềm, bao gồm các công cụ phát triển, thư viện của bên thứ ba, dịch vụ đám mây và quy trình cập nhật. Sau khi các phần tử độc hại này được tiêm thành công, kẻ tấn công có thể sử dụng chúng để đánh cắp tài sản tiền điện tử và thông tin nhạy cảm của người dùng, làm gián đoạn chức năng hệ thống, tống tiền doanh nghiệp hoặc phát tán phần mềm độc hại trên quy mô lớn.

Mặt khác, kẻ tấn công có thể lấy thông tin nhận dạng cá nhân, thông tin xác thực tài khoản, mật khẩu và thông tin nhạy cảm khác của người dùng thông qua các cuộc tấn công kỹ thuật xã hội; kẻ tấn công cũng có thể sử dụng email, tin nhắn văn bản hoặc cuộc gọi điện thoại lừa đảo để dụ người dùng nhấp vào liên kết độc hại hoặc tải xuống. tập tin độc hại. Người dùng nên sử dụng mật khẩu mạnh bao gồm sự kết hợp của các chữ cái, số và ký hiệu, đồng thời thay đổi mật khẩu thường xuyên để giảm thiểu khả năng kẻ tấn công đoán hoặc sử dụng các kỹ thuật lừa đảo xã hội để lấy mật khẩu. Đồng thời, xác thực đa yếu tố được triển khai nhằm tăng tính bảo mật cho tài khoản bằng cách sử dụng thêm các yếu tố xác thực (như mã xác minh SMS, nhận dạng vân tay, v.v.) và nâng cao khả năng phòng ngừa trước kiểu tấn công này.

"Các yêu cầu thực hành bảo mật dự án Web3" và "Hướng dẫn bảo mật chuỗi cung ứng công nghiệp Web3" do nhóm bảo mật SlowMist phát hành được thiết kế để hướng dẫn và nhắc nhở các bên tham gia dự án Web3 chú ý đến các biện pháp bảo mật toàn diện. Hệ thống giám sát bảo mật MistEye do nhóm bảo mật SlowMist triển khai bao gồm các thông tin toàn diện như giám sát hợp đồng, giám sát front-end và back-end, phát hiện lỗ hổng và cảnh báo sớm, v.v. Hệ thống này tập trung vào tính bảo mật của toàn bộ quá trình của các dự án DeFi trước, trong và sau sự kiện. Các bên tham gia dự án đều được hoan nghênh sử dụng hệ thống giám sát an ninh MistEye để kiểm soát rủi ro và cải thiện độ an toàn của dự án.

Sổ cái sự cố an ninh sơ hở
Các bình luận

Tất cả bình luận

Recommended for you

  • Thống đốc Ngân hàng Trung ương Philippines: Định hướng chính sách tiền tệ cuối cùng sẽ có xu hướng lỏng lẻo

    Thống đốc ngân hàng trung ương Philippines cho rằng định hướng chính sách tiền tệ cuối cùng sẽ có xu hướng lỏng lẻo hơn. Khi các điều kiện chín muồi và chúng tôi cảm thấy lạm phát đã được kiểm soát, chúng tôi có ý định nới lỏng chính sách. Không có mong muốn giữ lãi suất đủ cao để gây ra tổn thất về sản lượng.

  • Vitalik: Điểm thấp của tiện ích tiền điện tử đã qua

    Vitalik Buterin đã tweet rằng điểm thấp trong tiện ích tiền điện tử đã qua. Từ góc độ công nghệ, sự phát triển lớn nhất trong 5 năm qua chủ yếu là giải quyết các vấn đề về khả năng mở rộng của blockchain. Vitalik đặc biệt đề cập đến thị trường dự đoán Polymarket, cho biết họ rất hài lòng với sự hiện diện của nó trên Ethereum sau cuộc phỏng vấn vào mùa xuân này.

  • FBI: Hãy cảnh giác với những kẻ lừa đảo mạo danh nhân viên sàn giao dịch tiền điện tử để đánh cắp tiền bất hợp pháp

    FBI đã đưa ra cảnh báo vào ngày 1 tháng 8 rằng những kẻ lừa đảo đang giả danh nhân viên của các sàn giao dịch tiền điện tử và đánh cắp tiền thông qua các tin nhắn hoặc cuộc gọi điện thoại không được yêu cầu. Những kẻ lừa đảo này tạo ra các trường hợp khẩn cấp và cho rằng tài khoản có vấn đề để lừa nạn nhân cung cấp thông tin đăng nhập. nhấp vào liên kết hoặc chia sẻ thông tin nhận dạng.

  • Nguồn cung phát hành tiền tệ ổn định đã tăng lên 144,3 tỷ USD trong tháng 7 và thị phần USDT đạt 78,9%

    Theo dữ liệu từ TheBlockPro, khối lượng giao dịch được điều chỉnh của stablecoin trên chuỗi đã tăng 18,8% trong tháng 7, đạt 997,4 tỷ USD và nguồn cung stablecoin tăng 1,2% lên 144,3 tỷ USD, trong đó thị phần của USDT và USDC lần lượt là 78,9% và 17,1%. Ngoài ra, tổng khối lượng giao dịch trên chuỗi được điều chỉnh của Bitcoin và Ethereum tăng 31,8% về tổng thể, lên tới 445 tỷ USD. Trong số đó, khối lượng giao dịch trên chuỗi được điều chỉnh của Bitcoin tăng 34,7% và của Ethereum tăng thêm. 27,7%.

  • Ngân hàng Thương mại Dubai, UAE ra mắt tài khoản dành riêng cho nhà cung cấp dịch vụ tài sản ảo

    Ngân hàng Thương mại Dubai (CBD) tại Các Tiểu vương quốc Ả Rập Thống nhất (UAE) đã ra mắt tài khoản dành riêng cho nhà cung cấp dịch vụ tài sản ảo (VASP) để quản lý tiền của khách hàng và đáp ứng các yêu cầu an toàn theo quy định. CBD ra mắt một tài khoản chuyên dụng để tuân thủ Ngân hàng Trung ương. quy định của Cơ quan quản lý tài sản ảo của UAE và Dubai (VARA). Giám đốc điều hành Bernd van Linder cho biết động thái này phù hợp với các dịch vụ ngân hàng cốt lõi của Ngân hàng Thương mại Dubai và hỗ trợ các kế hoạch của ngân hàng nhằm thúc đẩy sự phát triển của nền kinh tế kỹ thuật số.

  • Giao thức cho vay chuỗi khối Morpho hoàn thành khoản tài trợ 50 triệu USD, dẫn đầu bởi Ribbit Capital

    Công ty DeFi Morpho đã huy động được 18 triệu USD tài trợ khi CEO Paul Frambot vẫn còn là sinh viên đại học. Lần này, Morpho đã huy động được 50 triệu USD thông qua việc bán token riêng tư nhưng không tiết lộ mức định giá. Vòng tài trợ chiến lược được dẫn dắt bởi Ribbit Capital, một nhà đầu tư ban đầu vào các công ty công nghệ tài chính bao gồm Robinhood, Revolut và Coinbase.

  • Bắc Kinh: Khuyến khích sử dụng đồng nhân dân tệ kỹ thuật số trong việc giám sát tiền gửi và tiền thuê nhà

    "Các biện pháp tạm thời của Bắc Kinh về quản lý tiền đặt cọc thuê nhà ở và giám sát tiền thuê nhà" đã được ban hành. Các Biện pháp chỉ ra rằng các Biện pháp này sẽ áp dụng cho việc lưu giữ, giám sát và quản lý tiền đặt cọc và tiền thuê nhà của các doanh nghiệp cho thuê nhà ở thuê nhà của người khác và tham gia kinh doanh cho thuê lại trong thành phố này. Thành phố này khuyến khích sử dụng đồng nhân dân tệ kỹ thuật số trong việc giám sát tiền gửi và tiền thuê nhà.

  • Cập nhật dữ liệu vị trí thang độ xám vào cuối tháng 7: GBTC giảm xuống xấp xỉ 241.000 BTC và ETHE nắm giữ khoảng 2,07 triệu ETH

    Grayscale chính thức cập nhật dữ liệu quỹ Bitcoin và Ethereum kể từ ngày 31 tháng 7 như sau:

  • Doanh số NFT trên chuỗi Bitcoin trong tháng 7 là khoảng 77,3 triệu USD, mức thấp nhất kể từ tháng 11 năm 2023

    Theo dữ liệu của Cryptoslam, doanh số bán NFT trên chuỗi Bitcoin trong tháng 7 là 77.311.729,1 USD, lập kỷ lục thấp nhất kể từ tháng 11 năm 2023. Ngoài ra, số lượng giao dịch NFT trên chuỗi Bitcoin trong tháng 7 chưa đến 120.000, đây cũng là mức thấp nhất kể từ tháng 11 năm 2023. Trong số đó, có khoảng 35.477 người bán độc lập và khoảng 49.348 người mua độc lập.

  • Upbit, Bithumb và Coinone sẽ bắt đầu trả phí pháp lý, dự kiến ​​tổng cộng là 300 triệu won

    Với việc triển khai Đạo luật bảo vệ người dùng tài sản ảo, các nhà cung cấp dịch vụ tài sản ảo như Upbit, Bithumb và Coinone cũng sẽ bắt đầu trả phí quy định. Phí quản lý được tính dựa trên thu nhập hoạt động và dự kiến ​​tổng cộng là 300 triệu won (220.000 USD). Phần đóng góp theo quy định của các nhà cung cấp dịch vụ tài sản ảo sẽ được tính dựa trên thu nhập hoạt động và tỷ lệ đóng góp của năm hoạt động trước đó. Dựa trên tỷ lệ chia sẻ năm 2024, phí của Upbit sẽ vào khoảng 272 triệu won (199.000 USD) và của Bithumb là khoảng 36,5 triệu won. Coinone và Gopax lần lượt là 6,03 triệu won và 830.000 won. Korbit, công ty có doanh thu hoạt động khoảng 1,7 tỷ won vào năm ngoái, không nằm trong phạm vi phải đóng góp theo quy định. Việc thu thập các khoản đóng góp theo quy định thực tế sẽ bắt đầu vào năm tới. Có thông tin cho rằng "phí giám sát" là khoản thuế gần như do các công ty tài chính và các tổ chức tài chính khác trả và được Cục Giám sát Tài chính kiểm tra với Cục Giám sát Tài chính để đổi lấy sự giám sát và dịch vụ. Thuế sẽ được đánh vào các công ty được quản lý có thu nhập hoạt động trên 3 tỷ won (2,2 triệu USD).

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty