Очередной инцидент с Ledger: Атака на цепочку поставок
Cover

Очередной инцидент с Ledger: Атака на цепочку поставок

14 декабря 2023 г.

В этом посте мы объясним, что произошло, почему это важно и как вы можете обезопасить свои активы.

Перевод поста Джемесона Лоппа подготовлен Тони⚡️

Поддержать проект

Атаки на цепочки поставок представляют собой одну из наиболее значимых угроз в сфере безопасности для держателей биткоина. Сегодня произошел крупный инцидент в области кибербезопасности, затрагивающий множество криптовалютных приложений.

Что такое атака на цепочку поставок? #

Атака на цепочку поставок происходит, когда злоумышленники манипулируют процессом доставки продуктов или услуг от доверенного источника, внедряя вредоносные компоненты. Это не обязательно ограничивается физическими компонентами (например, аппаратным обеспечением); атаки могут также затрагивать программное обеспечение, включая код, который загружается или выполняется на вашем устройстве. Такие атаки особенно опасны, поскольку они эксплуатируют доверие к источникам, считающимся надежными.

Сегодняшняя атака на Ledger #

Недавно выявленная уязвимость связана с “Ledger Connect Kit” - программной библиотекой, которая находит широкое применение в множестве приложений. Библиотеки, как неотъемлемый элемент разработки программного обеспечения, облегчают и ускоряют процесс создания и развертывания приложений для разработчиков. Однако их недостатком является то, что если в них обнаруживается уязвимость, она потенциально может затронуть все приложения, использующие эту библиотеку. Это служит одной из основных причин, почему приложениям регулярно требуются обновления.

Сегодня в течение нескольких часов все пользователи приложений, базирующихся на Ledger Connect Kit, подвергались воздействию вредоносного кода. По предварительной информации, вредоносный код создает фальшивое всплывающее окно “Ledger”, которое появляется в момент, когда пользователь выбирает свой кошелек. Кроме того, код способен генерировать всплывающие окна запроса на подпись в браузерных кошельках, призванные убедить пользователя подтвердить перевод средств на счет злоумышленника. Важно осознавать, что ваши средства могут находиться под угрозой, даже если вы не используете устройство Ledger непосредственно.

В сегодняшней атаке на цепочку поставок был внедрен “сливщик” кошельков (wallet drainer) в библиотеку Ledger “wallet connect”, используемую множеством web3/DeFi приложений. “Сливщик” кошельков - это вид смарт-контракта, который, получив разрешение на управление вашим кошельком, автоматически перенаправляет все средства злоумышленникам. Главное в этой схеме - получение вашего одобрения через криптографически подписанное сообщение. Злоумышленники, использующие такие сливщики, прибегают к различным обманным маневрам, чтобы убедить вас подписать согласие, позволяющее их контракту получить доступ к вашим средствам. Одним из таких примеров могут быть мошеннические всплывающие окна или сообщения, представляющиеся легитимными запросами:

sign

Хотя компания Ledger уже устранила проблему с вредоносным кодом, остается риск того, что в ближайший день или около того пользователи могут невольно загрузить кэшированную версию этого вредоносного кода. Для того чтобы убедиться в отсутствии кэшированной вредоносной версии библиотеки, рекомендуется посетить веб-адрес https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit и проверить, что установлена актуальная версия библиотеки, 1.1.8. Это обеспечит дополнительный уровень безопасности и предотвратит потенциальные риски.

sign

Если это не так, очистите кэш браузера. В Chrome это можно сделать через F12> Chrome Developer Tools > Application tab > Storage in left tree> Clear site data.

Остерегайтесь единых точек отказа #

Сегодняшнее событие стало ярким напоминанием о том, что несмотря на децентрализованный характер криптовалютной экосистемы, в ней по-прежнему присутствуют уязвимые места. Удивительно, как взлом учетной записи одного (бывшего) сотрудника может вызвать масштабные последствия и поставить под угрозу активы множества пользователей из-за взаимосвязанной структуры широко используемых программных библиотек.

Если значительная часть ваших сбережений находится в биткоине, крайне важно обеспечить их защиту с помощью нескольких ключей. Наилучшее время для повышения безопасности ваших активов — это сейчас, до того как произойдет следующая атака. Если вы сомневаетесь в безопасности своих биткоинов, рекомендуем обратить внимание на теоретический раздел “Безопасность” и практический раздел “Хранение” на нашем сайте.

Интересуетесь переходом с кошелька Ledger на более надежный вариант? Приобрести новый аппаратный кошелек можно со скидкой 5% в интернет-магазине Sunscrypt. Используйте промокод 21i для получения скидки.

Подключитесь к нашему релею, чтобы оставить комментарий. Подробнее.