Автор: Лиза и Шан из команды безопасности Slow Mist

По данным службы безопасности SlowMist, вечером 14 декабря 2023 года по пекинскому времени Ledger Connect Kit подвергся атаке на цепочку поставок, в результате чего злоумышленник получил прибыль не менее 600 000 долларов США.

Команда безопасности SlowMist немедленно вмешалась в анализ и выдала раннее предупреждение:

По данным службы безопасности SlowMist, вечером 14 декабря 2023 года по пекинскому времени Ledger Connect Kit подвергся атаке на цепочку поставок, в результате чего злоумышленник получил прибыль не менее 600 000 долларов США.

Команда безопасности SlowMist немедленно вмешалась в анализ и выдала раннее предупреждение:

В настоящее время инцидент официально разрешен, и команда безопасности SlowMist теперь делится экстренной информацией следующим образом:

Лента новостей

В 19:43 пользователь Twitter @g4sarah заявил, что интерфейс протокола управления активами DeFi Zapper предположительно был взломан.

В 20:30 технический директор Sushi Мэтью Лилли опубликовал предупреждение в Твиттере: «Пользователям предлагается не взаимодействовать с каким-либо децентрализованным приложением до дальнейшего уведомления. Часто используемый коннектор Web3 (библиотека JavaScript, часть проекта web3-react) Предполагается, что он был скомпрометирован, что позволило внедрить вредоносный код, затрагивающий многочисленные децентрализованные приложения». Позже было заявлено, что в Ledger может быть подозрительный код. Команда безопасности SlowMist сразу заявила, что расследует и анализирует этот инцидент.

В 20:56 Revoke.cash написал в Твиттере: «Несколько распространенных криптографических приложений, интегрированных с библиотекой Ledger Connect Kit, включая Revoke.cash, были скомпрометированы. Мы временно закрыли сайт. Мы рекомендуем устранить уязвимость. Не используйте какие-либо зашифрованные веб-сайты в течение периода эксплуатации». Впоследствии межсетевой проект DEX Kyber Network также заявил, что из предосторожности он отключил интерфейсный интерфейс до тех пор, пока ситуация не прояснится.

В 21:31 Ledger также опубликовал напоминание: «Мы выявили и удалили вредоносную версию Ledger Connect Kit. Сейчас мы распространяем подлинную версию для замены вредоносных файлов. Пока не взаимодействуйте ни с какими децентрализованными приложениями. Если возникнут новые ситуации, мы сообщим вам. Ваше устройство Ledger и Ledger Live не были скомпрометированы».

В 21:32 MetaMask также опубликовала напоминание: «Прежде чем пользователи будут выполнять какие-либо транзакции в портфеле MetaMask, убедитесь, что функция Blockaid включена в расширении MetaMask».

Влияние атаки

Команда безопасности SlowMist немедленно приступила к анализу соответствующего кода. Мы обнаружили, что злоумышленник внедрил вредоносный JS-код в версию @ledgerhq/connect-kit =1.1.5/1.1.6/1.1.7 и напрямую заменил обычный код классом Drainer. Логика окна не только выводит фальшивое всплывающее окно DrainerPopup, но также обрабатывает логику передачи различных активов. Фишинговые атаки на пользователей криптовалюты через распространение CDN.

Диапазон затронутых версий:

@ledgerhq/connect-kit 1.1.5 (Злоумышленник упомянул Inferno в коде, предположительно, чтобы отдать дань уважения Inferno Drainer, фишинговой группе, специализирующейся на многоцепочном мошенничестве)

@ledgerhq/connect-kit 1.1.6 (Злоумышленник оставил сообщение в коде и внедрил вредоносный JS-код)

@ledgerhq/connect-kit 1.1.7 (Злоумышленник оставил сообщение в коде и внедрил вредоносный JS-код)

В Ledger заявили, что сам кошелек Ledger не затронут, но затронуты приложения, интегрирующие библиотеку Ledger Connect Kit.

Однако многие приложения используют Ledger Connect Kit (например, SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash и т. д.), и эффект от этого будет только больше.

Однако многие приложения используют Ledger Connect Kit (например, SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash и т. д.), и эффект от этого будет только больше.

С помощью этой атаки злоумышленник может выполнить произвольный код с тем же уровнем разрешений, что и приложение. Например, злоумышленник может сразу же без взаимодействия слить все средства пользователя; опубликовать большое количество фишинговых ссылок, чтобы ввести пользователей в заблуждение; и даже воспользоваться паникой пользователя, пользователь пытается перевести активы на новый адрес, но загружает поддельный кошелек, что приводит к потере активов.

Технический и тактический анализ

Мы проанализировали последствия вышеуказанной атаки и, основываясь на историческом опыте чрезвычайных ситуаций, предположили, что это может быть преднамеренная фишинговая атака с использованием социальной инженерии.

Согласно твиту @0xSentry, один из цифровых следов, оставленных злоумышленниками, связан с учетной записью Gmail @JunichiSugiura (Джун, бывший сотрудник Ledger), которая могла быть скомпрометирована, и Ledger забыл закрыть доступ сотруднику.

В 23:09 чиновники подтвердили это предположение — жертвой фишинговой атаки стал бывший сотрудник Ledger:

1) Злоумышленник получил доступ к аккаунту сотрудника NPMJS;

2) Злоумышленник выпустил вредоносные версии Ledger Connect Kit (1.1.5, 1.1.6 и 1.1.7);

3) Злоумышленник использует вредоносный WalletConnect для перевода средств на адрес хакерского кошелька с помощью вредоносного кода.

В настоящее время Ledger выпустила подлинную и проверенную версию Ledger Connect Kit версии 1.1.8, пожалуйста, обновляйте ее вовремя.

Хотя отравленная версия Ledger npmjs была удалена, в jsDelivr все еще есть зараженные js-файлы:

https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

Обратите внимание, что могут быть задержки из-за факторов CDN. Официальная рекомендация — подождать 24 часа, прежде чем использовать Ledger Connect Kit.

Когда участники проекта публикуют зеркальные источники, использующие сторонние CDN, они не забывают заблокировать соответствующие версии, чтобы предотвратить ущерб, причиненный вредоносными выпусками и последующими обновлениями. (предложение от @galenyuan)

На данный момент чиновник принял соответствующие предложения, и я думаю, что в дальнейшем стратегия будет изменена:

Официальный окончательный график Ledger:

Анализ туманного трека

Клиент стока: 0x658729879fca881d9526480b82ae00efc54b5c2d

Адрес платы за слив: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

Согласно анализу MistTrack, злоумышленник (0x658) заработал не менее 600 000 долларов США и связан с фишинговой группой Angel Drainer.

Основным методом атаки банды Angel Drainer является проведение атак с помощью социальной инженерии на поставщиков услуг доменных имен и персонал.

Angel Drainer (0x412) в настоящее время владеет активами на сумму около 363 000 долларов США.

По данным SlowMist Threat Intelligence Network, были сделаны следующие выводы:

1) ИП 168.*.*.46, 185.*.*.167

2) Злоумышленник обменял немного ETH на XMR.

В 23:09 Tether заморозил адрес эксплуататора Ledger. Кроме того, MistTrack заблокировал соответствующие адреса и продолжит следить за изменениями средств.

Подведем итог

Этот инцидент еще раз доказывает, что безопасность DeFi — это не только безопасность контрактов, но и безопасность в целом.

С одной стороны, этот инцидент показывает, что нарушения безопасности цепочки поставок могут привести к серьезным последствиям. Вредоносное ПО и вредоносный код могут быть внедрены в разные точки цепочки поставок программного обеспечения, включая инструменты разработки, сторонние библиотеки, облачные службы и процессы обновления. После успешного внедрения этих вредоносных элементов злоумышленники могут использовать их для кражи криптовалютных активов и конфиденциальной пользовательской информации, нарушения функциональности системы, шантажа предприятий или распространения вредоносного ПО в больших масштабах.

С другой стороны, злоумышленники могут получить личную информацию пользователей, учетные данные, пароли и другую конфиденциальную информацию с помощью атак социальной инженерии; злоумышленники также могут использовать обманные электронные письма, текстовые сообщения или телефонные звонки, чтобы побудить пользователей нажать на вредоносные ссылки или загрузить. вредоносные файлы. Пользователям рекомендуется использовать надежные пароли, включающие комбинацию букв, цифр и символов, а также регулярно менять пароли, чтобы свести к минимуму вероятность угадывания злоумышленником или использования методов социальной инженерии для получения пароля. В то же время реализована многофакторная аутентификация для повышения безопасности учетной записи за счет использования дополнительных факторов аутентификации (таких как коды проверки SMS, распознавание отпечатков пальцев и т. д.) и улучшения возможностей предотвращения атак этого типа.

«Требования к практике безопасности проекта Web3» и «Руководство по безопасности отраслевой цепочки поставок Web3», выпущенные командой безопасности SlowMist, предназначены для руководства и напоминания участникам проекта Web3 о необходимости уделять внимание всесторонним мерам безопасности. Система мониторинга безопасности MistEye, развернутая командой безопасности SlowMist, охватывает всестороннюю информацию, такую ​​как мониторинг контрактов, внешний и внутренний мониторинг, обнаружение уязвимостей и раннее предупреждение и т. д. Она ориентирована на безопасность всего процесса проектов DeFi. до, во время и после мероприятия. Участники проекта могут использовать систему мониторинга безопасности MistEye для контроля рисков и повышения безопасности проекта.