Cointime

Cointime

Uygulamayı indirmek için QR kodu tarayın
iOS & Android

Ledger Connect Kit'in hacklenmesinin gizemi

Validated Project

Yazan: Lisa ve Shan @ Slow Mist Güvenlik Ekibi

SlowMist güvenlik ekibinden alınan istihbarata göre, Pekin saatiyle 14 Aralık 2023 akşamı Ledger Connect Kit bir tedarik zinciri saldırısına uğradı ve saldırgan en az 600.000 ABD doları kâr elde etti.

SlowMist güvenlik ekibi analize anında müdahale ederek erken uyarıda bulundu:

SlowMist güvenlik ekibinden alınan istihbarata göre, Pekin saatiyle 14 Aralık 2023 akşamı Ledger Connect Kit bir tedarik zinciri saldırısına uğradı ve saldırgan en az 600.000 ABD doları kâr elde etti.

SlowMist güvenlik ekibi analize anında müdahale ederek erken uyarıda bulundu:

Şu anda olay resmi olarak çözüldü ve SlowMist güvenlik ekibi acil durum bilgilerini şu şekilde paylaşıyor:

zaman çizelgesi

Saat 19:43'te Twitter kullanıcısı @g4sarah, DeFi varlık yönetimi protokolü Zapper'ın ön ucunun ele geçirildiğinden şüphelenildiğini belirtti.

Sushi Baş Teknoloji Sorumlusu Matthew Lilley, akşam 20:30'da Twitter'da bir uyarı yayınladı: "Kullanıcılardan bir sonraki duyuruya kadar herhangi bir dApp ile etkileşimde bulunmamaları rica olunur. Yaygın olarak kullanılan bir Web3 konektörü (web3-react projesinin bir parçası olan bir JavaScript kütüphanesi) Çok sayıda dApp'i etkileyen kötü amaçlı kodların enjeksiyonuna izin vererek tehlikeye girdiğinden şüpheleniliyor." Daha sonra Ledger'ın şüpheli koda sahip olabileceği belirtildi. SlowMist güvenlik ekibi derhal bu olayı takip ettiğini ve analiz ettiğini belirtti.

Revoke.cash saat 20:56'da tweet attı: "Revoke.cash de dahil olmak üzere Ledger Connect Kit kitaplığıyla entegre olan çok sayıda yaygın şifreleme uygulamasının güvenliği ihlal edildi. Siteyi geçici olarak kapattık. Güvenlik açığını düzeltmenizi öneririz. Daha sonra zincirler arası DEX projesi Kyber Network de tedbir amacıyla durum netleşene kadar ön uç kullanıcı arayüzünü devre dışı bıraktığını belirtti.

Ledger ayrıca saat 21.31'de bir hatırlatma yayınladı: "Ledger Connect Kit'in kötü amaçlı sürümünü belirledik ve kaldırdık. Artık kötü amaçlı dosyaları değiştirmek için orijinal sürümü yayınlıyoruz. Şimdilik herhangi bir dApp ile etkileşime girmeyin. Yeni durumlar olursa sizi bilgilendireceğiz. Ledger cihazınız ve Ledger Live'ın güvenliği ihlal edilmedi."

Saat 21.32'de MetaMask ayrıca bir hatırlatma yayınladı: "Kullanıcılar MetaMask Portföyünde herhangi bir işlem yapmadan önce lütfen MetaMask uzantısında Blockaid işlevinin etkinleştirildiğinden emin olun."

Saldırı etkisi

SlowMist güvenlik ekibi hemen ilgili kodu analiz etmeye başladı.Saldırganın @ledgerhq/connect-kit =1.1.5/1.1.6/1.1.7 sürümüne kötü amaçlı JS kodu yerleştirdiğini ve normal kodu doğrudan Drainer sınıfıyla değiştirdiğini tespit ettik. Pencere mantığı yalnızca sahte DrainerPopup açılır penceresini açmakla kalmayacak, aynı zamanda çeşitli varlıkların aktarım mantığını da yönetecektir. CDN dağıtımı yoluyla kripto para birimi kullanıcılarına yönelik kimlik avı saldırıları.

Etkilenen sürüm aralığı:

@ledgerhq/connect-kit 1.1.5 (Saldırgan, muhtemelen çoklu zincir dolandırıcılığı konusunda uzmanlaşmış bir kimlik avı grubu olan Inferno Drainer'a saygı duruşunda bulunmak için kodda Inferno'dan bahsetti)

@ledgerhq/connect-kit 1.1.6 (Saldırgan koda bir mesaj bıraktı ve kötü amaçlı JS kodu yerleştirdi)

@ledgerhq/connect-kit 1.1.7 (Saldırgan koda bir mesaj bıraktı ve kötü amaçlı JS kodu yerleştirdi)

Ledger, Ledger cüzdanının kendisinin etkilenmediğini ancak Ledger Connect Kit kütüphanesini entegre eden uygulamaların etkilendiğini belirtti.

Ancak birçok uygulama Ledger Connect Kit'i kullanıyor (SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash vb. gibi) ve etkisi yalnızca daha büyük olacak.

Ancak birçok uygulama Ledger Connect Kit'i kullanıyor (SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash vb. gibi) ve etkisi yalnızca daha büyük olacak.

Bu saldırı ile saldırgan, uygulama ile aynı izin seviyesinde rastgele kod çalıştırabilir. Örneğin, saldırgan herhangi bir etkileşime girmeden kullanıcının tüm parasını anında tüketebilir; kullanıcıları kandırmak için çok sayıda kimlik avı bağlantısı yayınlayabilir; hatta kullanıcının paniğinden faydalanarak kullanıcı varlıkları yeni bir adrese aktarmaya çalışır, ancak sahte bir cüzdan indirerek varlık kaybına neden olur.

Teknik ve taktik analiz

Yukarıda saldırının etkisini analiz ettik ve geçmişteki acil durum deneyimlerimize dayanarak bunun önceden tasarlanmış bir sosyal mühendislik kimlik avı saldırısı olabileceği yönünde spekülasyonlar yaptık.

@0xSentry'den gelen bir tweet'e göre, saldırganların geride bıraktığı dijital izlerden biri, @JunichiSugiura'nın (Jun, eski bir Ledger çalışanı) Gmail hesabının ele geçirilmiş olması ve Ledger'in çalışanın erişimini kaldırmayı unutması olabilir.

Saat 23:09'da yetkililer bu spekülasyonu doğruladı; eski bir Ledger çalışanı kimlik avı saldırısının kurbanı oldu:

1) Saldırgan, çalışanın NPMJS hesabına erişim sağladı;

2) Saldırgan, Ledger Connect Kit'in (1.1.5, 1.1.6 ve 1.1.7) kötü amaçlı sürümlerini yayınladı;

3) Saldırgan, kötü amaçlı kod yoluyla hackerın cüzdan adresine para aktarmak için kötü amaçlı WalletConnect'i kullanır.

Şu anda Ledger, orijinal ve doğrulanmış Ledger Connect Kit 1.1.8 sürümünü yayımladı; lütfen zamanında yükseltin.

Ledger npmjs'in zehirli versiyonu silinmiş olsa da jsDelivr'de hala zehirli js dosyaları var:

https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

CDN faktörleri nedeniyle gecikmeler olabileceğini unutmayın.Resmi öneri, Ledger Connect Kit'i kullanmadan önce 24 saat beklemektir.

Proje taraflarının, üçüncü taraf CDN'lere dayanan ayna kaynakları yayınladıklarında, kötü amaçlı yayınların ve sonraki güncellemelerin yol açabileceği zararları önlemek için ilgili sürümleri kilitlemeyi unutmamaları önerilir. (@galenyuan'ın önerisi)

Şu anda yetkili ilgili önerileri kabul etti ve bundan sonra stratejinin değişeceğine inanıyorum:

Ledger resmi son zaman çizelgesi:

MistTrack Analizi

Süzgeç müşterisi: 0x658729879fca881d9526480b82ae00efc54b5c2d

Süzgeç ücreti adresi: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

MistTrack analizine göre saldırganın (0x658) en az 600.000 ABD doları kazandığı ve kimlik avı grubu Angel Drainer ile ilişkili olduğu belirtiliyor.

Angel Drainer çetesinin ana saldırı yöntemi, alan adı servis sağlayıcılarına ve çalışanlarına sosyal mühendislik saldırıları düzenlemektir.Eğer ilgileniyorsanız, Dark "Angel" - Angel Drainer kimlik avı çetesinin açıklamalarını okumak için tıklayabilirsiniz.

Angel Drainer(0x412) şu anda yaklaşık 363.000 dolarlık varlığa sahip.

SlowMist Tehdit İstihbarat Ağı'na göre aşağıdaki bulgulara ulaşıldı:

1) IP 168.*.*.46, 185.*.*.167

2) Saldırgan bir miktar ETH'yi XMR ile değiştirdi

Saat 23:09'da Tether, Ledger'ı istismar eden kişinin adresini dondurdu. Ayrıca MistTrack ilgili adresleri bloke etti ve fon değişikliklerini izlemeye devam edecek.

Özetle

Bu olay, DeFi güvenliğinin sadece sözleşme güvenliğiyle ilgili olmadığını, bir bütün olarak güvenlikle ilgili olduğunu bir kez daha kanıtlıyor.

Bu olay bir yandan tedarik zinciri güvenliği ihlallerinin ciddi sonuçlara yol açabileceğini gösteriyor. Kötü amaçlı yazılımlar ve kötü amaçlı kodlar, geliştirme araçları, üçüncü taraf kitaplıklar, bulut hizmetleri ve güncelleme süreçleri dahil olmak üzere yazılım tedarik zincirinin farklı noktalarına yerleştirilebilir. Bu kötü amaçlı öğeler başarılı bir şekilde enjekte edildikten sonra, saldırganlar bunları kripto para birimi varlıklarını ve hassas kullanıcı bilgilerini çalmak, sistem işlevselliğini bozmak, işletmelere şantaj yapmak veya kötü amaçlı yazılımları büyük ölçekte yaymak için kullanabilir.

Öte yandan, saldırganlar sosyal mühendislik saldırıları yoluyla kullanıcıların kişisel kimlik bilgilerini, hesap kimlik bilgilerini, şifrelerini ve diğer hassas bilgilerini elde edebilir; saldırganlar ayrıca kullanıcıları kötü amaçlı bağlantılara tıklamaya veya indirmeye ikna etmek için yanıltıcı e-postalar, kısa mesajlar veya telefon çağrıları da kullanabilir. kötü amaçlı dosyalar. Kullanıcılara, harf, sayı ve simgelerin bir kombinasyonunu içeren güçlü şifreler kullanmaları ve bir saldırganın şifreyi tahmin etme veya sosyal mühendislik tekniklerini kullanarak şifreyi ele geçirme olasılığını en aza indirmek için şifreleri düzenli olarak değiştirmeleri önerilir. Aynı zamanda, ek kimlik doğrulama faktörlerini (SMS doğrulama kodları, parmak izi tanıma vb.) kullanarak hesabın güvenliğini artırmak ve bu tür saldırılara karşı önleme yeteneğini geliştirmek için çok faktörlü kimlik doğrulama uygulanmaktadır.

SlowMist güvenlik ekibi tarafından yayınlanan "Web3 Proje Güvenliği Uygulama Gereksinimleri" ve "Web3 Endüstri Tedarik Zinciri Güvenlik Kılavuzu", Web3 proje taraflarına çok yönlü güvenlik önlemlerine dikkat etmeleri konusunda rehberlik etmek ve hatırlatmak için tasarlanmıştır. SlowMist güvenlik ekibi tarafından devreye alınan MistEye güvenlik izleme sistemi, sözleşme izleme, ön uç ve arka uç izleme, güvenlik açığı keşfi ve erken uyarı vb. gibi çok yönlü bilgileri kapsar. DeFi projelerinin tüm sürecinin güvenliğine odaklanır. Etkinlik öncesinde, sırasında ve sonrasında Proje tarafları, riskleri kontrol etmek ve proje güvenliğini artırmak için MistEye güvenlik izleme sistemini kullanabilirler.

Defter güvenlik olayı boşluklar
Yorumlar

Tüm Yorumlar

Önerilen okuma

  • Robinhood Baş Hukuk Sorumlusu Dan Gallagher, SEC Başkanı Olarak Görev Yapmayacağını Açıkladı

    Piyasa haberlerine göre, Robinhood Baş Hukuk Sorumlusu Dan Gallagher, ABD Menkul Kıymetler ve Borsa Komisyonu'nun başkanlığını yapmayacağını söyledi.

  • Kripto para biriminin siyasi eğilimleri: Trump'ın seçilmesi son boğa koşusunu tetikledi

    Bitcoin'in 100.000 doları hedeflemesi ve "Fıstık Sincabı"nın %3.000'lik kazançla manşetlere çıkmasıyla kripto para birimleri bu tatil sezonunda geri dönüş yaptı. Aile üyeleri Bitcoin'i, memecoin'leri ve "şu Elon Twitter saçmalığını" tartışacak ve siz, belirlenmiş "kripto para birimi uzmanı" olarak ortalama bir insanın kalbini kazanmak için konuşacak bir şeye ihtiyacınız var. Kripto para özgürlükçü bir çılgınlıktır. Trump 'Kripto Çarı'nı Düşünüyor, Bitcoin Yeni Zirvelere Ulaşıyor, Blackstone IBIT Opsiyon Lansmanı, Bitcoin'in Programlanabilirliği Yeniden Canlanıyor, Trump SEC Başkanı için Kripto Para Avukatı Olarak Düşünüyor, Ticaret Bakanı olarak Howard Lutnick'i Seçiyor. Trump'ın seçilmesi ve zaferi, çoğu kişinin artık MAGA ve Elon'un D.O.G.E aldatmacasının en kötü aşırılıkları ile ilişkilendirdiği en son kripto para birimi boğa koşusunu ateşledi. Sol eğilimli akrabalarınızın yeni Cumhuriyetçi yönetimin kripto para birimlerini bu kadar güçlü bir şekilde desteklediğini görmesinin sizin durumunuza bir faydası olmaz. Kuzeniniz Bitcoin'i kırmızı ve turuncuyla ilişkilendirildiği için satın almıyorsa gerçeklere dönün.

  • Kosinüs: Bir kullanıcı arka kapılı kod kullanarak bir bot yazmak için GPT'yi kullandıktan sonra, özel anahtar bir kimlik avı web sitesine gönderildi.

    Slow Mist Cosine tarafından yayınlanan bir makaleye göre. Cosine, GPT/Claude gibi LLM'leri kullanırken bu LLM'lerdeki yaygın aldatmacaya dikkat etmemiz gerektiğini hatırlatıyor. Daha önce AI zehirlenme saldırılarından bahsetmiştik ve şimdi bu, Crypto endüstrisine yönelik gerçek bir saldırı vakasıdır.

  • American Blockchain Association, Trump yönetimine kripto düzenleme önerileri sundu

    Amerikan Blockchain Derneği Önceliklerini duyurdu. Temel içerikler şunları içerir: bir kripto para birimi düzenleme çerçevesi oluşturmak, kripto para birimi ve blockchain teknolojisi şirketlerinin banka işlemlerinin sona erdirilmesi, yeni bir SEC başkanı atamak ve SAB121'i iptal etmek, Hazine Bakanlığı ve IRS için yeni liderlik atamak ve birlikte çalışarak bir kripto para birimi danışma komitesi oluşturmak. Kongre ve federal düzenleyiciler.

  • ABD Yüksek Mahkemesi, Facebook'un hissedar menkul kıymet dolandırıcılığı davasını önleme girişimini reddetti

    ABD Yüksek Mahkemesi, META'nın sahibi olduğu Facebook'un hissedar menkul kıymet dolandırıcılığı davasından kaçınmaya çalıştığı davayı reddetti.

  • Amerika Birleşik Devletleri'nde Kasım ayında son bir yıllık enflasyon oranının, beklenen %2,7 ve önceki değer olan %2,60'a kıyasla %2,6 olması bekleniyor.

    Amerika Birleşik Devletleri'nde Kasım ayındaki son bir yıllık enflasyon oranının, beklenen %2,7 ve önceki değer olan %2,60'a kıyasla %2,6 olması bekleniyor. Beş ila on yıllık ABD enflasyon oranının Kasım ayındaki nihai beklenen değeri, beklenen %3,1 ve önceki değer olan %3,10'a kıyasla %3,2 oldu.

  • Tahmin piyasası platformu Polymarket, düzenleyici soruşturma nedeniyle Fransız kullanıcılarına erişimi askıya aldı

    Merkezi olmayan tahmin piyasası platformu Polymarket, Fransız kullanıcıların platformuna erişimini askıya aldığını duyurdu. Hareket, Fransa Ulusal Kumar Otoritesi'nin (ANJ) platforma yönelik bir kumar uyumluluğu soruşturması başlatmasından haftalar sonra geldi. Soruşturmanın, platformda Trump'ın 2024 ABD başkanlık seçimlerinde zaferi üzerine büyük bir bahis oynayan Fransız bir tüccardan kaynaklandığı aktarılıyor. Polymarket bir IP yasağı uygulamış olsa da, Fransız kripto para haber sitesi The Big Whale, kullanıcıların platforma hala bir VPN aracılığıyla erişebileceklerini bildirdi. Basın tarihi itibarıyla Polymarket Hizmet Koşulları ilgili kısıtlamaları güncellememiştir.

  • İngiltere, 2025'in başlarında kripto para birimi ve stablecoin düzenlemelerini açıklayacak

    Birleşik Krallık İşçi Partisi hükümeti, düzenlemeyi basitleştirmeyi ve stabilcoinler ve staking gibi önemli alanları ele almayı amaçlayan kapsamlı bir kripto para birimi düzenleme çerçevesini 2025'in başlarında açıklayacak. İngiltere, sektörü düzenlemeye yönelik küresel yarışı yansıtan kripto para birimi çerçevesini gelecek yıl yayınlamayı planlıyor; Avrupa Birliği gibi diğer yetki alanları ise halihazırda inovasyon ve ekonomik fırsatları çekmek için stratejiler geliştiriyor. Birleşik Krallık hükümeti, 2025'in başlarında Londra Şehri'ndeki Küresel Tokenizasyon Zirvesi'nde kripto para birimi endüstrisi için birleşik bir düzenleyici çerçeve sunma planlarını açıkladı. Yeni çerçevenin bir parçası olarak, stabilcoinler artık Birleşik Krallık'ın mevcut ödeme hizmetleri kurallarına göre düzenlenmeyecek. Hükümet, bu düzenlemelerin mevcut kullanım durumları için uygun olmadığına inanıyor. Bu değişim, Birleşik Krallık'ın yaklaşımını, istikrar için genellikle ABD doları gibi varlıklara sabitlenen stablecoin'lerin gelişen doğasıyla uyumlu hale getirmeyi amaçlıyor.

  • Amazon, "OpenAI rakibi" Anthropic'e 4 milyar dolar daha yatırım yapacak

    Amazon ve Anthropic işbirliklerini derinleştiriyor ve birbirlerine 4 milyar ABD doları daha yatırım yapacak. Bu yılın eylül ayında yapay zeka girişimi Anthropic, 40 milyar dolara varan değerlemeyle yeni bir finansman turu arıyordu. Anthropic, 2021 yılında eski OpenAI yöneticileri tarafından kurulan ve açıklanabilir, güvenli ve kontrol edilebilir yapay zeka sistemleri oluşturmaya odaklanan bir şirkettir. Şirketin amiral gemisi yapay zeka modeli Claude, çıktısını yönlendirmek ve hatalı veya ayrımcı çıktıları önlemek için önceden tanımlanmış ilkeleri kullanan bir yapay zeka modeli olan "Anayasal Yapay Zeka" üzerinde çalışıyor.

  • Sui, Franklin Templeton Digital Assets ile stratejik ortaklığını duyurdu

    Sui Vakfı, Sui ekosistemi oluşturucularını desteklemeye ve Sui blockchain protokolünü kullanan yeni teknolojileri uygulamaya odaklanmak için Franklin Templeton Digital Assets ile stratejik bir ortaklık kurduğunu duyurdu.

Günlük Seçimler

Cointime
İçerikler
Şirket.