Cointime

Cointime

Download App
iOS & Android

Bí ẩn Ledger Connect Kit bị hack

Validated Project

Bởi: Lisa & Shan @ Đội bảo mật Slow Mist

Theo thông tin tình báo từ nhóm bảo mật SlowMist, vào tối ngày 14 tháng 12 năm 2023, giờ Bắc Kinh, Ledger Connect Kit đã bị tấn công chuỗi cung ứng và kẻ tấn công đã kiếm được ít nhất 600.000 USD.

Đội ngũ bảo mật SlowMist ngay lập tức can thiệp vào phân tích và đưa ra cảnh báo sớm:

Theo thông tin tình báo từ nhóm bảo mật SlowMist, vào tối ngày 14 tháng 12 năm 2023, giờ Bắc Kinh, Ledger Connect Kit đã bị tấn công chuỗi cung ứng và kẻ tấn công đã kiếm được ít nhất 600.000 USD.

Đội ngũ bảo mật SlowMist ngay lập tức can thiệp vào phân tích và đưa ra cảnh báo sớm:

Hiện tại, sự việc đã chính thức được giải quyết và đội ngũ bảo mật SlowMist hiện chia sẻ thông tin khẩn cấp như sau:

mốc thời gian

Vào lúc 7:43 tối, người dùng Twitter @g4sarah tuyên bố rằng giao thức quản lý tài sản DeFi Zapper bị nghi ngờ đã bị tấn công.

Vào lúc 8:30 tối, Giám đốc Công nghệ của Sushi, Matthew Lilley đã đưa ra cảnh báo trên Twitter: “Người dùng được yêu cầu không tương tác với bất kỳ dApp nào cho đến khi có thông báo mới. Trình kết nối Web3 thường được sử dụng (thư viện JavaScript, một phần của dự án phản ứng web3) Nó bị nghi ngờ đã bị xâm phạm, cho phép tiêm mã độc ảnh hưởng đến nhiều dApp." Sau đó, nó tuyên bố rằng Ledger có thể có mã đáng ngờ. Nhóm bảo mật SlowMist ngay lập tức tuyên bố rằng họ đang theo dõi và phân tích sự việc này.

Lúc 8:56 tối, Revoke.cash đã tweet: “Nhiều ứng dụng mật mã phổ biến được tích hợp với thư viện Ledger Connect Kit, bao gồm Revoke.cash, đã bị xâm phạm. Chúng tôi đã tạm thời đóng cửa trang web. Chúng tôi khuyên bạn nên sửa lỗ hổng này. các trang web được mã hóa trong thời gian khai thác." Sau đó, dự án DEX chuỗi chéo Kyber Network cũng tuyên bố rằng vì thận trọng, nó đã vô hiệu hóa giao diện người dùng front-end cho đến khi tình hình rõ ràng.

Vào lúc 9:31 tối, Ledger cũng đưa ra lời nhắc: “Chúng tôi đã xác định và xóa phiên bản độc hại của Ledger Connect Kit. Chúng tôi hiện đang đẩy phiên bản chính hãng để thay thế các tệp độc hại. Không tương tác với bất kỳ dApps nào trong thời điểm hiện tại. Nếu có tình huống mới, chúng tôi sẽ thông báo cho bạn. Thiết bị Ledger và Ledger Live của bạn không bị xâm phạm."

Vào lúc 9:32 tối, MetaMask cũng đưa ra lời nhắc: “Trước khi người dùng thực hiện bất kỳ giao dịch nào trên MetaMask Portfolio, vui lòng đảm bảo rằng chức năng Blockaid đã được bật trong tiện ích mở rộng MetaMask”.

Tác động tấn công

Nhóm bảo mật SlowMist ngay lập tức bắt đầu phân tích mã liên quan. Chúng tôi phát hiện kẻ tấn công đã cấy mã JS độc hại vào phiên bản @ledrhq/connect-kit =1.1.5/1.1.6/1.1.7 và trực tiếp thay thế mã thông thường bằng lớp Drainer Logic cửa sổ sẽ không chỉ bật lên cửa sổ bật lên DrainerPopup giả mạo mà còn xử lý logic chuyển của nhiều nội dung khác nhau. Tấn công lừa đảo vào người dùng tiền điện tử thông qua phân phối CDN.

Phạm vi phiên bản bị ảnh hưởng:

@ledrhq/connect-kit 1.1.5 (Kẻ tấn công đã đề cập đến Inferno trong mã, có lẽ là để tỏ lòng tôn kính với Inferno Drainer, một nhóm lừa đảo chuyên lừa đảo đa chuỗi)

@ledrhq/connect-kit 1.1.6 (Kẻ tấn công để lại tin nhắn trong mã và cấy mã JS độc hại)

@ledrhq/connect-kit 1.1.7 (Kẻ tấn công để lại tin nhắn trong mã và cấy mã JS độc hại)

Ledger cho biết bản thân ví Ledger không bị ảnh hưởng nhưng các ứng dụng tích hợp thư viện Ledger Connect Kit lại bị ảnh hưởng.

Tuy nhiên, nhiều ứng dụng sử dụng Ledger Connect Kit (như SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash, v.v.) và tác động sẽ chỉ lớn hơn.

Tuy nhiên, nhiều ứng dụng sử dụng Ledger Connect Kit (như SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash, v.v.) và tác động sẽ chỉ lớn hơn.

Với cuộc tấn công này, kẻ tấn công có thể thực thi mã tùy ý với cùng cấp độ quyền với ứng dụng. Ví dụ: kẻ tấn công có thể ngay lập tức rút hết tiền của người dùng mà không cần tương tác; xuất bản một số lượng lớn liên kết lừa đảo để khiến người dùng bị lừa; và thậm chí lợi dụng sự hoảng loạn của người dùng, người dùng cố gắng chuyển tài sản sang một địa chỉ mới, nhưng tải xuống ví giả, dẫn đến mất tài sản.

Phân tích kỹ thuật và chiến thuật

Chúng tôi đã phân tích tác động của cuộc tấn công ở trên và suy đoán dựa trên kinh nghiệm khẩn cấp trước đây rằng đây có thể là một cuộc tấn công lừa đảo kỹ thuật xã hội được tính toán trước.

Theo một tweet từ @0xSentry, một trong những dấu vết kỹ thuật số mà những kẻ tấn công để lại liên quan đến tài khoản Gmail của @JunichiSugiura (Jun, cựu nhân viên của Ledger), tài khoản này có thể đã bị xâm phạm và Ledger đã quên xóa quyền truy cập của nhân viên.

Vào lúc 11:09 tối, các quan chức đã xác nhận suy đoán này - một cựu nhân viên của Ledger đã trở thành nạn nhân của một cuộc tấn công lừa đảo:

1) Kẻ tấn công đã giành được quyền truy cập vào tài khoản NPMJS của nhân viên;

2) Kẻ tấn công đã phát hành phiên bản độc hại của Ledger Connect Kit (1.1.5, 1.1.6 và 1.1.7);

3) Kẻ tấn công sử dụng WalletConnect độc hại để chuyển tiền đến địa chỉ ví của hacker thông qua mã độc.

Hiện tại, Ledger đã phát hành Ledger Connect Kit phiên bản 1.1.8 chính hãng và đã được kiểm chứng, vui lòng nâng cấp kịp thời.

Mặc dù phiên bản Ledger npmjs bị nhiễm độc đã bị xóa nhưng vẫn còn các tệp js bị nhiễm độc trên jsDelivr:

https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

Lưu ý có thể có sự chậm trễ do yếu tố CDN, khuyến nghị chính thức là đợi 24 giờ trước khi sử dụng Ledger Connect Kit.

Chúng tôi khuyến nghị rằng khi các bên dự án xuất bản các nguồn nhân bản dựa vào CDN của bên thứ ba, họ phải nhớ khóa các phiên bản có liên quan để ngăn chặn tác hại do các bản phát hành độc hại và các bản cập nhật tiếp theo gây ra. (gợi ý từ @galenyuan)

Hiện tại, quan chức này đã chấp nhận những đề xuất liên quan và tôi tin rằng chiến lược sẽ được thay đổi tiếp theo:

Sổ cái chính thức thời gian cuối cùng:

Phân tích theo dõi sương mù

Khách hàng máy thoát nước: 0x658729879fca881d9526480b82ae00efc54b5c2d

Địa chỉ phí thoát nước: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

Theo phân tích của MistTrack, kẻ tấn công (0x658) đã kiếm được ít nhất 600.000 USD và có liên quan đến nhóm lừa đảo Angel Drainer.

Phương thức tấn công chính của băng đảng Angel Drainer là tiến hành các cuộc tấn công kỹ thuật xã hội nhằm vào các nhà cung cấp dịch vụ tên miền và nhân viên.Nếu quan tâm, bạn có thể nhấp vào để đọc Dark "Angel" - Tiết lộ của băng nhóm lừa đảo Angel Drainer .

Angel Drainer(0x412) hiện nắm giữ tài sản trị giá gần 363.000 USD.

Theo Mạng thông minh về mối đe dọa SlowMist, những phát hiện sau đã được đưa ra:

1) IP 168.*.*.46, 185.*.*.167

2) Kẻ tấn công đã đổi một số ETH lấy XMR

Lúc 11:09 PM, Tether đã đóng băng địa chỉ của kẻ khai thác Ledger. Ngoài ra, MistTrack đã chặn các địa chỉ liên quan và sẽ tiếp tục theo dõi những thay đổi về quỹ.

Tóm tắt

Sự cố này một lần nữa chứng minh rằng bảo mật DeFi không chỉ liên quan đến bảo mật hợp đồng mà còn là bảo mật nói chung.

Một mặt, vụ việc này cho thấy những vi phạm an ninh chuỗi cung ứng có thể dẫn đến hậu quả nghiêm trọng. Phần mềm độc hại và mã độc có thể được cài vào các phần khác nhau của chuỗi cung ứng phần mềm, bao gồm các công cụ phát triển, thư viện của bên thứ ba, dịch vụ đám mây và quy trình cập nhật. Sau khi các phần tử độc hại này được tiêm thành công, kẻ tấn công có thể sử dụng chúng để đánh cắp tài sản tiền điện tử và thông tin nhạy cảm của người dùng, làm gián đoạn chức năng hệ thống, tống tiền doanh nghiệp hoặc phát tán phần mềm độc hại trên quy mô lớn.

Mặt khác, kẻ tấn công có thể lấy thông tin nhận dạng cá nhân, thông tin xác thực tài khoản, mật khẩu và thông tin nhạy cảm khác của người dùng thông qua các cuộc tấn công kỹ thuật xã hội; kẻ tấn công cũng có thể sử dụng email, tin nhắn văn bản hoặc cuộc gọi điện thoại lừa đảo để dụ người dùng nhấp vào liên kết độc hại hoặc tải xuống. tập tin độc hại. Người dùng nên sử dụng mật khẩu mạnh bao gồm sự kết hợp của các chữ cái, số và ký hiệu, đồng thời thay đổi mật khẩu thường xuyên để giảm thiểu khả năng kẻ tấn công đoán hoặc sử dụng các kỹ thuật lừa đảo xã hội để lấy mật khẩu. Đồng thời, xác thực đa yếu tố được triển khai nhằm tăng tính bảo mật cho tài khoản bằng cách sử dụng thêm các yếu tố xác thực (như mã xác minh SMS, nhận dạng vân tay, v.v.) và nâng cao khả năng phòng ngừa trước kiểu tấn công này.

"Các yêu cầu thực hành bảo mật dự án Web3" và "Hướng dẫn bảo mật chuỗi cung ứng công nghiệp Web3" do nhóm bảo mật SlowMist phát hành được thiết kế để hướng dẫn và nhắc nhở các bên tham gia dự án Web3 chú ý đến các biện pháp bảo mật toàn diện. Hệ thống giám sát bảo mật MistEye do nhóm bảo mật SlowMist triển khai bao gồm các thông tin toàn diện như giám sát hợp đồng, giám sát front-end và back-end, phát hiện lỗ hổng và cảnh báo sớm, v.v. Hệ thống này tập trung vào tính bảo mật của toàn bộ quá trình của các dự án DeFi trước, trong và sau sự kiện. Các bên tham gia dự án đều được hoan nghênh sử dụng hệ thống giám sát an ninh MistEye để kiểm soát rủi ro và cải thiện độ an toàn của dự án.

Sổ cái sự cố an ninh sơ hở
Các bình luận

Tất cả bình luận

Recommended for you

  • BTC vượt mốc 67.000 đô la

    Dữ liệu thị trường cho thấy BTC đã vượt qua mốc 67.000 đô la và hiện đang giao dịch ở mức 67.006,7 đô la, giảm 3,83% trong 24 giờ. Thị trường đang biến động mạnh, vui lòng quản lý rủi ro của bạn cho phù hợp.

  • BTC vượt mốc 66.000 đô la

    Dữ liệu thị trường cho thấy BTC đã vượt qua mốc 66.000 đô la và hiện đang giao dịch ở mức 66.006,95 đô la, giảm 7,87% trong 24 giờ. Thị trường đang biến động mạnh, vui lòng quản lý rủi ro của bạn cho phù hợp.

  • Khách mời đặc biệt | Giáo sư Li Hui sẽ tham dự tiệc hậu sự kiện Web3 Night tại Hồng Kông vào ngày 9 tháng 2.

    Theo Cointime, Giáo sư Li Hui, Giáo sư danh dự của Trường Cao học Đại học Bắc Kinh tại Thâm Quyến và Giám đốc Trung tâm Đổi mới Tương lai Đại học Bắc Kinh về Cơ sở hạ tầng Khoa học và Công nghệ Trọng điểm Quốc gia, đã xác nhận sẽ tham dự buổi tiệc sau sự kiện "Đầu tư, Quan sát, Dự đoán và Đổi mới" của Web3 Night tại Hồng Kông vào ngày 9 tháng 2.

  • Người sáng lập Cardano: Hơn 3 tỷ đô la đã bị mất trong không gian tiền điện tử.

    Vào ngày 6 tháng 2, người sáng lập Cardano, Charles Hoskinson, tiết lộ trong một buổi phát trực tiếp rằng mặc dù đã mất hơn 3 tỷ đô la trong không gian tiền điện tử, ông vẫn chọn ở lại trong ngành này thay vì bỏ cuộc. Đáp lại những lời đồn đoán rằng ông "đủ giàu để chịu được thua lỗ", ông tuyên bố: "Nếu các bạn nghĩ tôi tham gia lĩnh vực này vì tiền, các bạn đã nhầm to rồi - ngay cả khi tôi mất hết, tôi cũng sẽ không dừng lại."

  • Binance: Những người sở hữu ít nhất 240 điểm Alpha có thể nhận được phần thưởng airdrop Binance Alpha vào lúc 17:00 hôm nay.

    Binance Wallet thông báo sẽ phát airdrop Binance Alpha vào lúc 17:00 (UTC) hôm nay. Người dùng cần tích lũy đủ 240 điểm Alpha. Việc phân phối sẽ được thực hiện theo nguyên tắc ai đến trước được trước cho đến khi hết điểm trong pool hoặc sự kiện airdrop kết thúc. Thông tin chi tiết hơn sẽ được công bố sớm.

  • Công ty Sapiom, chuyên về cơ sở hạ tầng tác nhân AI, đã huy động được 15,75 triệu đô la vốn đầu tư, dẫn đầu bởi Accel.

    Công ty cung cấp cơ sở hạ tầng cho các tác nhân AI, Sapiom, đã huy động được 15,75 triệu đô la Mỹ tiền đầu tư, dẫn đầu bởi Accel, cùng với sự tham gia của Gradient, Array Ventures, Okta Ventures, Menlo Ventures, Anthropic, Coinbase Ventures, Formus Capital và Operator Collective. Sapiom cung cấp quyền truy cập kinh tế API đáng tin cậy cho các tác nhân AI.

  • Bộ trưởng Tài chính Hoa Kỳ Bessenter: Ngành ngân hàng và tiền điện tử cuối cùng có thể sẽ cho ra mắt các sản phẩm tương tự.

    Bộ trưởng Tài chính Hoa Kỳ Scott Bessant cho biết trước Quốc hội rằng các sản phẩm và dịch vụ tài chính ngân hàng truyền thống và tiền điện tử có thể sẽ tích hợp sâu rộng hơn trong tương lai. Trong phiên điều trần của Ủy ban Ngân hàng Thượng viện hôm thứ Năm, Thượng nghị sĩ đảng Cộng hòa Cynthia Loomis đã hỏi ông Bessant liệu các ngân hàng truyền thống và lĩnh vực tiền điện tử có thể ra mắt các sản phẩm tài chính tương tự trong tương lai hay không. Ông Bessant trả lời: "Tôi tin rằng, nếu có thời gian, tầm nhìn này sẽ trở thành hiện thực. Trên thực tế, chúng tôi đang làm việc với các ngân hàng nhỏ và ngân hàng cộng đồng để tìm hiểu các con đường khả thi cho sự tham gia của họ vào cuộc cách mạng tài sản kỹ thuật số này." Ông Bessant nhấn mạnh rằng nếu không có các quy định rõ ràng, sự phát triển trong ngành công nghiệp tiền điện tử là "bất khả thi", và kêu gọi ngành công nghiệp ủng hộ Đạo luật CLARITY, một đạo luật liên quan đến cấu trúc thị trường tiền điện tử hiện đang được Quốc hội xem xét. Ông tuyên bố: "Chúng ta phải thúc đẩy việc ban hành Đạo luật CLARITY. Bất kỳ người tham gia thị trường nào phản đối đạo luật này đều có thể chuyển đến El Salvador." Ông Bessant nói thêm: "Chúng ta cần đưa ra các nguyên tắc hoạt động an toàn, mạnh mẽ và thận trọng cùng các hệ thống quản lý từ chính phủ Hoa Kỳ cho ngành công nghiệp tiền điện tử, đồng thời vẫn bảo vệ được sự tự do đổi mới của chính ngành này. Tôi tin rằng tất cả các bên hiện đang nỗ lực tìm kiếm sự cân bằng giữa hai điều này."

  • Tin vắn từ Cointime | Christy: RWA đang định hình lại cấu trúc đầu tư tài sản của mình để cho phép các nhà đầu tư thông thường tham gia vào việc phân bổ tài sản cốt lõi.

    Tại sự kiện Space này, Christy, Giám đốc điều hành của ThamesBridge và Phó Tổng thư ký của Hiệp hội Hệ sinh thái Quốc tế RWA, đã chia sẻ những hiểu biết của mình về tác động của RWA đối với cấu trúc thị trường đầu tư. Bà nhấn mạnh:

  • Tin tức nhanh của Cointime | Hakan: Chuỗi công khai RWA phải đạt được "sự phù hợp về độ tin cậy trên chuỗi với thế giới thực"

    Trong buổi thảo luận về không gian, CEO của Soly Chain, ông Hakan, đã chia sẻ những hiểu biết quan trọng về logic thiết kế của cơ sở hạ tầng RWA và kiến ​​trúc tuân thủ nền tảng của nó. Ông cho biết:

  • Tin vắn Cointime | Wang Ping: Bức tranh tài chính toàn cầu đang bước vào "kỷ nguyên mới của tài chính kỹ thuật số", và Hồng Kông sẽ trở thành một trung tâm quan trọng.

    Trong sự kiện đặc biệt của Space với chủ đề "Kiến tạo kỷ nguyên mới của tài chính kỹ thuật số toàn cầu và đưa Hồng Kông trở thành trung tâm tài chính tầm cao mới", do Cointime, ITA, Liên đoàn Quốc tế Hệ sinh thái RWA và Soly Chain đồng tổ chức, ông Wang Ping, Chủ tịch điều hành kiêm Tổng giám đốc Liên đoàn Quốc tế Hệ sinh thái RWA, đã chia sẻ quan điểm hệ thống của mình về việc tái cấu trúc bối cảnh tài chính toàn cầu và con đường phát triển của hệ sinh thái RWA. Ông chỉ ra rằng:

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty