В этом посте мы объясним, что произошло, почему это важно и как вы можете обезопасить свои активы.
Атаки на цепочки поставок представляют собой одну из наиболее значимых угроз в сфере безопасности для держателей биткоина. Сегодня произошел крупный инцидент в области кибербезопасности, затрагивающий множество криптовалютных приложений.
Что такое атака на цепочку поставок? #
Атака на цепочку поставок происходит, когда злоумышленники манипулируют процессом доставки продуктов или услуг от доверенного источника, внедряя вредоносные компоненты. Это не обязательно ограничивается физическими компонентами (например, аппаратным обеспечением); атаки могут также затрагивать программное обеспечение, включая код, который загружается или выполняется на вашем устройстве. Такие атаки особенно опасны, поскольку они эксплуатируют доверие к источникам, считающимся надежными.
Сегодняшняя атака на Ledger #
Недавно выявленная уязвимость связана с “Ledger Connect Kit” - программной библиотекой, которая находит широкое применение в множестве приложений. Библиотеки, как неотъемлемый элемент разработки программного обеспечения, облегчают и ускоряют процесс создания и развертывания приложений для разработчиков. Однако их недостатком является то, что если в них обнаруживается уязвимость, она потенциально может затронуть все приложения, использующие эту библиотеку. Это служит одной из основных причин, почему приложениям регулярно требуются обновления.
🚨 ledger library confirmed compromised and replaced with a drainer. wait out interacting with any dapps till things become clearer.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
— banteg (@bantg) December 14, 2023
Сегодня в течение нескольких часов все пользователи приложений, базирующихся на Ledger Connect Kit, подвергались воздействию вредоносного кода. По предварительной информации, вредоносный код создает фальшивое всплывающее окно “Ledger”, которое появляется в момент, когда пользователь выбирает свой кошелек. Кроме того, код способен генерировать всплывающие окна запроса на подпись в браузерных кошельках, призванные убедить пользователя подтвердить перевод средств на счет злоумышленника. Важно осознавать, что ваши средства могут находиться под угрозой, даже если вы не используете устройство Ledger непосредственно.
What we're seeing today is a (digital) supply chain attack against code that is used by many crypto projects.
— Jameson Lopp (@lopp) December 14, 2023
JS library attacks aren't new, but this one seems worse than usual because the library is "hot loaded" rather than pinned to a version with an integrity check hash.
В сегодняшней атаке на цепочку поставок был внедрен “сливщик” кошельков (wallet drainer) в библиотеку Ledger “wallet connect”, используемую множеством web3/DeFi приложений. “Сливщик” кошельков - это вид смарт-контракта, который, получив разрешение на управление вашим кошельком, автоматически перенаправляет все средства злоумышленникам. Главное в этой схеме - получение вашего одобрения через криптографически подписанное сообщение. Злоумышленники, использующие такие сливщики, прибегают к различным обманным маневрам, чтобы убедить вас подписать согласие, позволяющее их контракту получить доступ к вашим средствам. Одним из таких примеров могут быть мошеннические всплывающие окна или сообщения, представляющиеся легитимными запросами:
Хотя компания Ledger уже устранила проблему с вредоносным кодом, остается риск того, что в ближайший день или около того пользователи могут невольно загрузить кэшированную версию этого вредоносного кода. Для того чтобы убедиться в отсутствии кэшированной вредоносной версии библиотеки, рекомендуется посетить веб-адрес https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit и проверить, что установлена актуальная версия библиотеки, 1.1.8. Это обеспечит дополнительный уровень безопасности и предотвратит потенциальные риски.
Если это не так, очистите кэш браузера. В Chrome это можно сделать через F12> Chrome Developer Tools > Application tab > Storage in left tree> Clear site data.
Остерегайтесь единых точек отказа #
Сегодняшнее событие стало ярким напоминанием о том, что несмотря на децентрализованный характер криптовалютной экосистемы, в ней по-прежнему присутствуют уязвимые места. Удивительно, как взлом учетной записи одного (бывшего) сотрудника может вызвать масштабные последствия и поставить под угрозу активы множества пользователей из-за взаимосвязанной структуры широко используемых программных библиотек.
Single signature wallet == single point of failure.
— Jameson Lopp (@lopp) November 25, 2023
Don't put more money into single sig than you're willing to lose!
Sorry, I don't make the rules...
Если значительная часть ваших сбережений находится в биткоине, крайне важно обеспечить их защиту с помощью нескольких ключей. Наилучшее время для повышения безопасности ваших активов — это сейчас, до того как произойдет следующая атака. Если вы сомневаетесь в безопасности своих биткоинов, рекомендуем обратить внимание на теоретический раздел “Безопасность” и практический раздел “Хранение” на нашем сайте.
Интересуетесь переходом с кошелька Ledger на более надежный вариант? Приобрести новый аппаратный кошелек можно со скидкой 5% в интернет-магазине Sunscrypt. Используйте промокод 21i для получения скидки.