Ledger đã bắt đầu vận chuyển ví phần cứng Ledger Stax mới của mình cho những khách hàng đã đặt hàng trước hơn một năm trước, sau khi ngày ra mắt đầu tiên bị trì hoãn. Được biết, vào ngày 6 tháng 12 năm 2022, tại hội nghị nhà phát triển Web3 Ledger Op3n, Ledger tiết lộ rằng họ đã hợp tác với Tony Fadell, nhà phát minh ra iPod, để phát triển một ví phần cứng mới có tên Ledger Stax. Tuy nhiên, sản phẩm không giao hàng như cam kết.

Ledger đã đăng trên mạng xã hội rằng trong sự cố bảo mật quy mô lớn vào tuần trước, khoảng 600.000 USD tài sản đã bị ảnh hưởng và bị đánh cắp từ những người dùng đã đăng nhập một cách mù quáng trên EVM DApp. Ledger sẽ cố gắng hết sức để giúp các cá nhân bị ảnh hưởng (bao gồm cả người dùng không sử dụng Ledger) lấy lại tiền của họ trước cuối tháng 2 năm 2024 và đã cam kết hợp tác với hệ sinh thái DApp để cho phép Clear Signing. Hiện tại, Ledger đã quyết định không cho phép sử dụng nữa của Sổ cái trước tháng 6 năm 2024. Thiết bị thực hiện Blind Signing.

Các quan chức sổ cái tuyên bố rằng hãy cảnh giác với các hành vi lừa đảo và lừa đảo đang diễn ra. Ledger chỉ có hai tài khoản truyền thông xã hội thực sự là @ledger và @ledger_support. Phần còn lại là tài khoản giả mạo và bất kỳ ai hỏi cụm từ khôi phục bí mật gồm 24 từ của bạn đều là tội phạm.

Theo thông tin tình báo từ nhóm bảo mật SlowMist, vào tối ngày 14 tháng 12 năm 2023, giờ Bắc Kinh, Ledger Connect Kit đã bị tấn công vào chuỗi cung ứng và kẻ tấn công đã kiếm được ít nhất 600.000 USD. Đội ngũ bảo mật SlowMist ngay lập tức can thiệp vào phân tích và đưa ra cảnh báo sớm:

Yu Xian, người sáng lập Slow Mist, đã đăng trên mạng xã hội về lỗ hổng Ledger: 1. Vấn đề mô-đun Ledger ledgerhq/connect-kit bị nhiễm độc về cơ bản đã được giảm bớt, nhưng mã độc có thể vẫn được lưu vào bộ nhớ đệm trong trình duyệt. không chắc chắn, Đảm bảo xóa bộ nhớ đệm của trình duyệt (bao gồm bộ nhớ đệm trình duyệt tích hợp của ứng dụng ví bạn đang sử dụng); 2. Người dùng phải kiểm tra kỹ mọi giao dịch trong ví sẽ được ký; 3. Ví Ledger bản thân nó không bị ảnh hưởng 4. Cuộc tấn công chuỗi cung ứng này Các chi tiết rất hấp dẫn và những thợ săn như vậy không phải là hiếm trong khu rừng tối tăm này 5. Tether đã hành động kịp thời và đóng băng lợi nhuận USDT từ việc đánh bắt cá. Trong khi đó, USDC vẫn bị bỏ qua mãi mãi.

Một số ứng dụng dựa trên Ethereum, bao gồm Zapper, SushiSwap, Phantom, Balancer và Revoke.cash, đã bị tấn công trước đó vào thứ Năm do lỗi bảo mật trong Ledger. Cuộc tấn công này là do cuộc tấn công chuỗi cung ứng vào Ledger Connect Kit. Không rõ có bao nhiêu ứng dụng phi tập trung (dapps) bị ảnh hưởng hoặc mất bao nhiêu tiền. “Vui lòng không tương tác với bất kỳ dApp nào cho đến khi có thông báo mới,” CTO Matthew Lilley của Sushi viết trên Twitter.

Tin tặc đã đánh cắp 484.000 USD vào thứ Năm sau khi chèn mã độc vào kho lưu trữ Github của Connect Kit, một phần mềm blockchain được sử dụng rộng rãi được duy trì bởi công ty ví tiền điện tử Ledger. Một số giao thức tài chính phi tập trung (DeFi) lớn sử dụng thư viện bị ảnh hưởng và người dùng được cảnh báo không sử dụng các ứng dụng phi tập trung (dApp) cho đến khi các giao thức này được cập nhật. Bộ công cụ kết nối của Ledger là một đoạn mã cho phép các giao thức DeFi kết nối với ví phần cứng tiền điện tử. Lỗ hổng này có khả năng ảnh hưởng đến giao diện người dùng của tất cả các giao thức sử dụng Connect Kit, bao gồm Sushi, Lido, Metamask và Coinbase, cùng nhiều giao thức khác. Mặc dù Ledger đã cập nhật mã riêng nhưng mọi giao thức sử dụng Bộ công cụ kết nối của Ledger đều phải cập nhật thủ công phiên bản thư viện để giảm thiểu rủi ro.

Safe (trước đây là Gnosis Safe) đăng trên nền tảng X rằng lỗ hổng Ledger Connect đã được giải quyết. An ninh đã không bị xâm phạm. Safe không bị ảnh hưởng bởi lỗ hổng này. Ứng dụng bảo mật và chức năng WalletConnect đã được khôi phục và tài khoản của kẻ tấn công đã được gắn cờ và gắn cờ trong giao diện người dùng để tăng cường bảo mật.

Scopescan cho biết trên nền tảng X rằng những kẻ tấn công Ledger đang chuyển tiền đến địa chỉ mới và đổi USDC lấy ETH. Cho đến nay, khoảng 150.000 USD tài sản đã được chuyển giao. Trước đây, địa chỉ này đã cố gắng thử nghiệm trộn một số ETH trên nền tảng ChangeNOW.

Ledger đã phát hành bản cập nhật lỗ hổng mới nhất trên nền tảng X, cho biết Ledger Connect Kit phiên bản 1.1.8 chính hãng và đã được xác minh hiện đã lan rộng và an toàn khi sử dụng. Dành cho các nhà xây dựng đang phát triển và tương tác với mã Ledger Connect Kit: Nhóm phát triển bộ kết nối trong dự án NPM hiện ở chế độ chỉ đọc và không thể đẩy các gói NPM trực tiếp vì lý do bảo mật. Ngoài ra, mã độc đã sử dụng dự án WalletConnect lừa đảo để định tuyến lại tiền đến các ví bị tấn công. - Đội ngũ kỹ thuật và bảo mật của Ledger đã được cảnh báo và triển khai bản sửa lỗi trong vòng 40 phút kể từ khi Ledger biết được điều đó. Tệp độc hại tồn tại được khoảng năm giờ, nhưng khoảng thời gian cạn kiệt tiền được giới hạn trong vòng chưa đầy hai giờ. Nhóm đang nộp đơn khiếu nại và làm việc với cơ quan thực thi pháp luật để điều tra nhằm tìm ra kẻ tấn công, đồng thời đang nghiên cứu lỗ hổng để tránh các cuộc tấn công tiếp theo.