Ledger начал поставлять свой новый аппаратный кошелек Ledger Stax клиентам, которые оформили предзаказ более года назад, после того как его первоначальная дата запуска была отложена. Сообщается, что 6 декабря 2022 года на конференции разработчиков Web3 Ledger Op3n компания Ledger сообщила, что сотрудничала с Тони Фаделлом, изобретателем iPod, для разработки нового аппаратного кошелька под названием Ledger Stax. Однако товар не был доставлен, как было обещано.

Ledger опубликовал в социальных сетях, что в результате крупномасштабного инцидента безопасности, произошедшего на прошлой неделе, были затронуты активы на сумму около 600 000 долларов, которые были украдены у пользователей, которые слепо подписались на EVM DApp. Ledger сделает все возможное, чтобы помочь пострадавшим лицам (в том числе не пользователям Ledger) вернуть свои средства до конца февраля 2024 года, и взял на себя обязательство работать с экосистемой DApp, чтобы разрешить Clear Signing. В настоящее время он решил больше не разрешать использование Ledger до июня 2024 года. Устройство выполняет слепое подписание.

Представители Ledger заявили, что будьте осторожны с продолжающимся фишингом и мошенничеством. У Ledger есть только две настоящие учетные записи в социальных сетях: @ledger и @ledger_support. Остальные — фейковые аккаунты, и любой, кто попросит вас ввести секретную фразу восстановления из 24 слов, является преступником.

По данным службы безопасности SlowMist, вечером 14 декабря 2023 года по пекинскому времени Ledger Connect Kit подвергся атаке на цепочку поставок, в результате которой злоумышленник получил не менее 600 000 долларов США. Команда безопасности SlowMist немедленно вмешалась в анализ и выдала раннее предупреждение:

Ю Сянь, основатель Slow Mist, написал в социальных сетях об уязвимости Ledger: 1. Проблема отравления модуля Ledgerledgerhq/connect-kit в основном решена, но отравленный код все еще может кэшироваться в браузере. это не точно, обязательно очистите кеш браузера (включая встроенный кеш браузера приложения кошелька, которое вы используете); 2. Пользователи должны дважды проверять каждую транзакцию в кошельке, которая будет подписана; 3. Кошелек Ledger сам по себе не пострадал; 4. Эта атака на цепочку поставок. Подробности очень интригующие, и такие охотники не редкость в этом темном лесу; 5. Tether вовремя принял меры и заморозил прибыль USDT от рыбалки. Для сравнения, USDC остался как игнорированный как всегда.

Несколько приложений на базе Ethereum, включая Zapper, SushiSwap, Phantom, Balancer и Revoke.cash, были атакованы ранее в четверг из-за недостатков безопасности в Ledger. Эта атака была вызвана атакой на Ledger Connect Kit в цепочке поставок. Неясно, сколько децентрализованных приложений (dapps) пострадало или сколько денег было потеряно. «Пожалуйста, не взаимодействуйте с какими-либо децентрализованными приложениями до дальнейшего уведомления», — написал в Твиттере технический директор Sushi Мэтью Лилли.

Хакеры украли 484 000 долларов в четверг после внедрения вредоносного кода в репозиторий Github Connect Kit, широко используемого программного обеспечения для блокчейна, поддерживаемого компанией Ledger, производящей криптокошельки. Затронуты несколько основных протоколов децентрализованного финансирования (DeFi), использующих библиотеку, и пользователей предупреждают не использовать децентрализованные приложения (dApps) до тех пор, пока эти протоколы не будут обновлены. Ledger’s Connect Kit — это фрагмент кода, который позволяет протоколам DeFi подключаться к аппаратным криптокошелькам. Эта уязвимость потенциально затрагивает интерфейсы всех протоколов, использующих Connect Kit, включая Sushi, Lido, Metamask и Coinbase, среди прочих. Хотя Ledger обновил свой собственный код, каждый протокол, использующий Ledger’s Connect Kit, должен вручную обновлять свою версию библиотеки, чтобы полностью снизить риск.

Safe (ранее Gnosis Safe) опубликовал на платформе X информацию о том, что уязвимость Ledger Connect устранена. Безопасность не была нарушена. Safe не подвержена этой уязвимости. Функциональность приложений безопасности и WalletConnect была восстановлена, а учетная запись злоумышленника была помечена и помечена в пользовательском интерфейсе для повышения безопасности.

Scopescan сообщил на платформе X, что злоумышленники Ledger переводили средства на новые адреса и обменивали USDC на ETH. На данный момент переведено около 150 000 долларов США в виде активов. Ранее этот адрес пытался протестировать смешивание ETH на платформе ChangeNOW.

Ledger выпустил последнее обновление уязвимости на платформе X, указав, что подлинная и проверенная версия Ledger Connect Kit версии 1.1.8 теперь распространена и безопасна в использовании. Для разработчиков, которые разрабатывают код Ledger Connect Kit и взаимодействуют с ним: команда разработчиков Connect-Kit в проекте NPM теперь доступна только для чтения и не может отправлять пакеты NPM напрямую по соображениям безопасности. Кроме того, вредоносный код использовал мошеннический проект WalletConnect для перенаправления средств на взломанные кошельки. - Техническая группа и команда безопасности Ledger были предупреждены и внедрили исправление в течение 40 минут после того, как Ledger узнал об этом. Вредоносный файл жил около пяти часов, но окно, в течение которого средства были исчерпаны, было ограничено менее чем двумя часами. Команда подает жалобу и сотрудничает с правоохранительными органами в расследовании, чтобы найти злоумышленника, а также исследует уязвимость, чтобы избежать дальнейших атак.