Bởi: Lisa & Shan @ Đội bảo mật Slow Mist
Theo thông tin tình báo từ nhóm bảo mật SlowMist, vào tối ngày 14 tháng 12 năm 2023, giờ Bắc Kinh, Ledger Connect Kit đã bị tấn công chuỗi cung ứng và kẻ tấn công đã kiếm được ít nhất 600.000 USD.
Đội ngũ bảo mật SlowMist ngay lập tức can thiệp vào phân tích và đưa ra cảnh báo sớm:
Theo thông tin tình báo từ nhóm bảo mật SlowMist, vào tối ngày 14 tháng 12 năm 2023, giờ Bắc Kinh, Ledger Connect Kit đã bị tấn công chuỗi cung ứng và kẻ tấn công đã kiếm được ít nhất 600.000 USD.
Đội ngũ bảo mật SlowMist ngay lập tức can thiệp vào phân tích và đưa ra cảnh báo sớm:
Hiện tại, sự việc đã chính thức được giải quyết và đội ngũ bảo mật SlowMist hiện chia sẻ thông tin khẩn cấp như sau:
mốc thời gian
Vào lúc 7:43 tối, người dùng Twitter @g4sarah tuyên bố rằng giao thức quản lý tài sản DeFi Zapper bị nghi ngờ đã bị tấn công.
Vào lúc 8:30 tối, Giám đốc Công nghệ của Sushi, Matthew Lilley đã đưa ra cảnh báo trên Twitter: “Người dùng được yêu cầu không tương tác với bất kỳ dApp nào cho đến khi có thông báo mới. Trình kết nối Web3 thường được sử dụng (thư viện JavaScript, một phần của dự án phản ứng web3) Nó bị nghi ngờ đã bị xâm phạm, cho phép tiêm mã độc ảnh hưởng đến nhiều dApp." Sau đó, nó tuyên bố rằng Ledger có thể có mã đáng ngờ. Nhóm bảo mật SlowMist ngay lập tức tuyên bố rằng họ đang theo dõi và phân tích sự việc này.
Lúc 8:56 tối, Revoke.cash đã tweet: “Nhiều ứng dụng mật mã phổ biến được tích hợp với thư viện Ledger Connect Kit, bao gồm Revoke.cash, đã bị xâm phạm. Chúng tôi đã tạm thời đóng cửa trang web. Chúng tôi khuyên bạn nên sửa lỗ hổng này. các trang web được mã hóa trong thời gian khai thác." Sau đó, dự án DEX chuỗi chéo Kyber Network cũng tuyên bố rằng vì thận trọng, nó đã vô hiệu hóa giao diện người dùng front-end cho đến khi tình hình rõ ràng.
Vào lúc 9:31 tối, Ledger cũng đưa ra lời nhắc: “Chúng tôi đã xác định và xóa phiên bản độc hại của Ledger Connect Kit. Chúng tôi hiện đang đẩy phiên bản chính hãng để thay thế các tệp độc hại. Không tương tác với bất kỳ dApps nào trong thời điểm hiện tại. Nếu có tình huống mới, chúng tôi sẽ thông báo cho bạn. Thiết bị Ledger và Ledger Live của bạn không bị xâm phạm."
Vào lúc 9:32 tối, MetaMask cũng đưa ra lời nhắc: “Trước khi người dùng thực hiện bất kỳ giao dịch nào trên MetaMask Portfolio, vui lòng đảm bảo rằng chức năng Blockaid đã được bật trong tiện ích mở rộng MetaMask”.
Tác động tấn công
Nhóm bảo mật SlowMist ngay lập tức bắt đầu phân tích mã liên quan. Chúng tôi phát hiện kẻ tấn công đã cấy mã JS độc hại vào phiên bản @ledrhq/connect-kit =1.1.5/1.1.6/1.1.7 và trực tiếp thay thế mã thông thường bằng lớp Drainer Logic cửa sổ sẽ không chỉ bật lên cửa sổ bật lên DrainerPopup giả mạo mà còn xử lý logic chuyển của nhiều nội dung khác nhau. Tấn công lừa đảo vào người dùng tiền điện tử thông qua phân phối CDN.
Phạm vi phiên bản bị ảnh hưởng:
@ledrhq/connect-kit 1.1.5 (Kẻ tấn công đã đề cập đến Inferno trong mã, có lẽ là để tỏ lòng tôn kính với Inferno Drainer, một nhóm lừa đảo chuyên lừa đảo đa chuỗi)
@ledrhq/connect-kit 1.1.6 (Kẻ tấn công để lại tin nhắn trong mã và cấy mã JS độc hại)
@ledrhq/connect-kit 1.1.7 (Kẻ tấn công để lại tin nhắn trong mã và cấy mã JS độc hại)
Ledger cho biết bản thân ví Ledger không bị ảnh hưởng nhưng các ứng dụng tích hợp thư viện Ledger Connect Kit lại bị ảnh hưởng.
Tuy nhiên, nhiều ứng dụng sử dụng Ledger Connect Kit (như SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash, v.v.) và tác động sẽ chỉ lớn hơn.
Tuy nhiên, nhiều ứng dụng sử dụng Ledger Connect Kit (như SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash, v.v.) và tác động sẽ chỉ lớn hơn.
Với cuộc tấn công này, kẻ tấn công có thể thực thi mã tùy ý với cùng cấp độ quyền với ứng dụng. Ví dụ: kẻ tấn công có thể ngay lập tức rút hết tiền của người dùng mà không cần tương tác; xuất bản một số lượng lớn liên kết lừa đảo để khiến người dùng bị lừa; và thậm chí lợi dụng sự hoảng loạn của người dùng, người dùng cố gắng chuyển tài sản sang một địa chỉ mới, nhưng tải xuống ví giả, dẫn đến mất tài sản.
Phân tích kỹ thuật và chiến thuật
Chúng tôi đã phân tích tác động của cuộc tấn công ở trên và suy đoán dựa trên kinh nghiệm khẩn cấp trước đây rằng đây có thể là một cuộc tấn công lừa đảo kỹ thuật xã hội được tính toán trước.
Theo một tweet từ @0xSentry, một trong những dấu vết kỹ thuật số mà những kẻ tấn công để lại liên quan đến tài khoản Gmail của @JunichiSugiura (Jun, cựu nhân viên của Ledger), tài khoản này có thể đã bị xâm phạm và Ledger đã quên xóa quyền truy cập của nhân viên.
Vào lúc 11:09 tối, các quan chức đã xác nhận suy đoán này - một cựu nhân viên của Ledger đã trở thành nạn nhân của một cuộc tấn công lừa đảo:
1) Kẻ tấn công đã giành được quyền truy cập vào tài khoản NPMJS của nhân viên;
2) Kẻ tấn công đã phát hành phiên bản độc hại của Ledger Connect Kit (1.1.5, 1.1.6 và 1.1.7);
3) Kẻ tấn công sử dụng WalletConnect độc hại để chuyển tiền đến địa chỉ ví của hacker thông qua mã độc.
Hiện tại, Ledger đã phát hành Ledger Connect Kit phiên bản 1.1.8 chính hãng và đã được kiểm chứng, vui lòng nâng cấp kịp thời.
Mặc dù phiên bản Ledger npmjs bị nhiễm độc đã bị xóa nhưng vẫn còn các tệp js bị nhiễm độc trên jsDelivr:
https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]
https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]
Lưu ý có thể có sự chậm trễ do yếu tố CDN, khuyến nghị chính thức là đợi 24 giờ trước khi sử dụng Ledger Connect Kit.
Chúng tôi khuyến nghị rằng khi các bên dự án xuất bản các nguồn nhân bản dựa vào CDN của bên thứ ba, họ phải nhớ khóa các phiên bản có liên quan để ngăn chặn tác hại do các bản phát hành độc hại và các bản cập nhật tiếp theo gây ra. (gợi ý từ @galenyuan)
Hiện tại, quan chức này đã chấp nhận những đề xuất liên quan và tôi tin rằng chiến lược sẽ được thay đổi tiếp theo:
Sổ cái chính thức thời gian cuối cùng:
Phân tích theo dõi sương mù
Khách hàng máy thoát nước: 0x658729879fca881d9526480b82ae00efc54b5c2d
Địa chỉ phí thoát nước: 0x412f10AAd96fD78da6736387e2C84931Ac20313f
Theo phân tích của MistTrack, kẻ tấn công (0x658) đã kiếm được ít nhất 600.000 USD và có liên quan đến nhóm lừa đảo Angel Drainer.
Phương thức tấn công chính của băng đảng Angel Drainer là tiến hành các cuộc tấn công kỹ thuật xã hội nhằm vào các nhà cung cấp dịch vụ tên miền và nhân viên.Nếu quan tâm, bạn có thể nhấp vào để đọc Dark "Angel" - Tiết lộ của băng nhóm lừa đảo Angel Drainer .
Angel Drainer(0x412) hiện nắm giữ tài sản trị giá gần 363.000 USD.
Theo Mạng thông minh về mối đe dọa SlowMist, những phát hiện sau đã được đưa ra:
1) IP 168.*.*.46, 185.*.*.167
2) Kẻ tấn công đã đổi một số ETH lấy XMR
Lúc 11:09 PM, Tether đã đóng băng địa chỉ của kẻ khai thác Ledger. Ngoài ra, MistTrack đã chặn các địa chỉ liên quan và sẽ tiếp tục theo dõi những thay đổi về quỹ.
Tóm tắt
Sự cố này một lần nữa chứng minh rằng bảo mật DeFi không chỉ liên quan đến bảo mật hợp đồng mà còn là bảo mật nói chung.
Một mặt, vụ việc này cho thấy những vi phạm an ninh chuỗi cung ứng có thể dẫn đến hậu quả nghiêm trọng. Phần mềm độc hại và mã độc có thể được cài vào các phần khác nhau của chuỗi cung ứng phần mềm, bao gồm các công cụ phát triển, thư viện của bên thứ ba, dịch vụ đám mây và quy trình cập nhật. Sau khi các phần tử độc hại này được tiêm thành công, kẻ tấn công có thể sử dụng chúng để đánh cắp tài sản tiền điện tử và thông tin nhạy cảm của người dùng, làm gián đoạn chức năng hệ thống, tống tiền doanh nghiệp hoặc phát tán phần mềm độc hại trên quy mô lớn.
Mặt khác, kẻ tấn công có thể lấy thông tin nhận dạng cá nhân, thông tin xác thực tài khoản, mật khẩu và thông tin nhạy cảm khác của người dùng thông qua các cuộc tấn công kỹ thuật xã hội; kẻ tấn công cũng có thể sử dụng email, tin nhắn văn bản hoặc cuộc gọi điện thoại lừa đảo để dụ người dùng nhấp vào liên kết độc hại hoặc tải xuống. tập tin độc hại. Người dùng nên sử dụng mật khẩu mạnh bao gồm sự kết hợp của các chữ cái, số và ký hiệu, đồng thời thay đổi mật khẩu thường xuyên để giảm thiểu khả năng kẻ tấn công đoán hoặc sử dụng các kỹ thuật lừa đảo xã hội để lấy mật khẩu. Đồng thời, xác thực đa yếu tố được triển khai nhằm tăng tính bảo mật cho tài khoản bằng cách sử dụng thêm các yếu tố xác thực (như mã xác minh SMS, nhận dạng vân tay, v.v.) và nâng cao khả năng phòng ngừa trước kiểu tấn công này.
"Các yêu cầu thực hành bảo mật dự án Web3" và "Hướng dẫn bảo mật chuỗi cung ứng công nghiệp Web3" do nhóm bảo mật SlowMist phát hành được thiết kế để hướng dẫn và nhắc nhở các bên tham gia dự án Web3 chú ý đến các biện pháp bảo mật toàn diện. Hệ thống giám sát bảo mật MistEye do nhóm bảo mật SlowMist triển khai bao gồm các thông tin toàn diện như giám sát hợp đồng, giám sát front-end và back-end, phát hiện lỗ hổng và cảnh báo sớm, v.v. Hệ thống này tập trung vào tính bảo mật của toàn bộ quá trình của các dự án DeFi trước, trong và sau sự kiện. Các bên tham gia dự án đều được hoan nghênh sử dụng hệ thống giám sát an ninh MistEye để kiểm soát rủi ro và cải thiện độ an toàn của dự án.
Tất cả bình luận