BasEx | Взлом Коннектора Кошелька Ledger и Последствия для Пользователей
Пользователи Ledger пострадали от взлома коннектора кошелька с dapps
15.12.2023
Пользователи Ledger пострадали от взлома коннектора кошелька с dapps

Разработчик аппаратных кошельков Ledger обнаружил уязвимость в библиотеке ПО, используемой децентрализованными приложениями. Хакер смог добавить вредоносный код в их интерфейсы.

14 декабря около 4:35 (МСК) злоумышленник подменил оригинальную версию Ledger Connect Kit на поддельную. Атака не повлияла на физические устройства и приложение Ledger Live.

Команда Ledger устранила угрозу, выпустив новую версию 1.1.8. Однако использование ПО было не рекомендовано на следующие сутки.

Расследование показало, что доступ к аккаунту в NPMJS хакер получил через фишинговую атаку на бывшего сотрудника Ledger.

Вредоносный файл находился в обороте примерно 5 часов, а кража средств продолжалась около 2 часов. Хакер использовал WalletConnect для вывода активов, но в итоге его кошелек был отключен.

В Ledger не раскрыли сумму убытков, но связались с пострадавшими клиентами для обсуждения возможной компенсации.

Компания планирует обратиться в правоохранительные органы для поиска злоумышленника.

Разработчики напомнили о важности использования функции Clear Sign для подписи транзакций и о необходимости прекратить операцию при расхождении информации на экранах кошелька и устройства.

PeckShield сообщил о компрометации фронтэндов Zapper и SushiSwap.

CTO Sushi Мэттью Лилли предупредил о воздержании от взаимодействия с любыми dapps до новых уведомлений.

Balancer рекомендовал временно не использовать свой интерфейс, а Revoke.cash отключил свой сайт.

BlockAid сообщила о потерях проектов на сумму более $150 000. В список потенциально пострадавших сайтов вошли Sushi, Zapper, MetalSwap и EchoDEX.

Под сообщением Ledger многие задавались вопросом о том, как бывшему сотруднику удалось сохранить доступ к критически важному аккаунту.

Более подробная информация, а также скидки, доступны в нашем Телеграмм канале