Yazan: Lisa ve Shan @ Slow Mist Güvenlik Ekibi

SlowMist güvenlik ekibinden alınan istihbarata göre, Pekin saatiyle 14 Aralık 2023 akşamı Ledger Connect Kit bir tedarik zinciri saldırısına uğradı ve saldırgan en az 600.000 ABD doları kâr elde etti.

SlowMist güvenlik ekibi analize anında müdahale ederek erken uyarıda bulundu:

SlowMist güvenlik ekibinden alınan istihbarata göre, Pekin saatiyle 14 Aralık 2023 akşamı Ledger Connect Kit bir tedarik zinciri saldırısına uğradı ve saldırgan en az 600.000 ABD doları kâr elde etti.

SlowMist güvenlik ekibi analize anında müdahale ederek erken uyarıda bulundu:

Şu anda olay resmi olarak çözüldü ve SlowMist güvenlik ekibi acil durum bilgilerini şu şekilde paylaşıyor:

zaman çizelgesi

Saat 19:43'te Twitter kullanıcısı @g4sarah, DeFi varlık yönetimi protokolü Zapper'ın ön ucunun ele geçirildiğinden şüphelenildiğini belirtti.

Sushi Baş Teknoloji Sorumlusu Matthew Lilley, akşam 20:30'da Twitter'da bir uyarı yayınladı: "Kullanıcılardan bir sonraki duyuruya kadar herhangi bir dApp ile etkileşimde bulunmamaları rica olunur. Yaygın olarak kullanılan bir Web3 konektörü (web3-react projesinin bir parçası olan bir JavaScript kütüphanesi) Çok sayıda dApp'i etkileyen kötü amaçlı kodların enjeksiyonuna izin vererek tehlikeye girdiğinden şüpheleniliyor." Daha sonra Ledger'ın şüpheli koda sahip olabileceği belirtildi. SlowMist güvenlik ekibi derhal bu olayı takip ettiğini ve analiz ettiğini belirtti.

Revoke.cash saat 20:56'da tweet attı: "Revoke.cash de dahil olmak üzere Ledger Connect Kit kitaplığıyla entegre olan çok sayıda yaygın şifreleme uygulamasının güvenliği ihlal edildi. Siteyi geçici olarak kapattık. Güvenlik açığını düzeltmenizi öneririz. Daha sonra zincirler arası DEX projesi Kyber Network de tedbir amacıyla durum netleşene kadar ön uç kullanıcı arayüzünü devre dışı bıraktığını belirtti.

Ledger ayrıca saat 21.31'de bir hatırlatma yayınladı: "Ledger Connect Kit'in kötü amaçlı sürümünü belirledik ve kaldırdık. Artık kötü amaçlı dosyaları değiştirmek için orijinal sürümü yayınlıyoruz. Şimdilik herhangi bir dApp ile etkileşime girmeyin. Yeni durumlar olursa sizi bilgilendireceğiz. Ledger cihazınız ve Ledger Live'ın güvenliği ihlal edilmedi."

Saat 21.32'de MetaMask ayrıca bir hatırlatma yayınladı: "Kullanıcılar MetaMask Portföyünde herhangi bir işlem yapmadan önce lütfen MetaMask uzantısında Blockaid işlevinin etkinleştirildiğinden emin olun."

Saldırı etkisi

SlowMist güvenlik ekibi hemen ilgili kodu analiz etmeye başladı.Saldırganın @ledgerhq/connect-kit =1.1.5/1.1.6/1.1.7 sürümüne kötü amaçlı JS kodu yerleştirdiğini ve normal kodu doğrudan Drainer sınıfıyla değiştirdiğini tespit ettik. Pencere mantığı yalnızca sahte DrainerPopup açılır penceresini açmakla kalmayacak, aynı zamanda çeşitli varlıkların aktarım mantığını da yönetecektir. CDN dağıtımı yoluyla kripto para birimi kullanıcılarına yönelik kimlik avı saldırıları.

Etkilenen sürüm aralığı:

@ledgerhq/connect-kit 1.1.5 (Saldırgan, muhtemelen çoklu zincir dolandırıcılığı konusunda uzmanlaşmış bir kimlik avı grubu olan Inferno Drainer'a saygı duruşunda bulunmak için kodda Inferno'dan bahsetti)

@ledgerhq/connect-kit 1.1.6 (Saldırgan koda bir mesaj bıraktı ve kötü amaçlı JS kodu yerleştirdi)

@ledgerhq/connect-kit 1.1.7 (Saldırgan koda bir mesaj bıraktı ve kötü amaçlı JS kodu yerleştirdi)

Ledger, Ledger cüzdanının kendisinin etkilenmediğini ancak Ledger Connect Kit kütüphanesini entegre eden uygulamaların etkilendiğini belirtti.

Ancak birçok uygulama Ledger Connect Kit'i kullanıyor (SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash vb. gibi) ve etkisi yalnızca daha büyük olacak.

Ancak birçok uygulama Ledger Connect Kit'i kullanıyor (SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash vb. gibi) ve etkisi yalnızca daha büyük olacak.

Bu saldırı ile saldırgan, uygulama ile aynı izin seviyesinde rastgele kod çalıştırabilir. Örneğin, saldırgan herhangi bir etkileşime girmeden kullanıcının tüm parasını anında tüketebilir; kullanıcıları kandırmak için çok sayıda kimlik avı bağlantısı yayınlayabilir; hatta kullanıcının paniğinden faydalanarak kullanıcı varlıkları yeni bir adrese aktarmaya çalışır, ancak sahte bir cüzdan indirerek varlık kaybına neden olur.

Teknik ve taktik analiz

Yukarıda saldırının etkisini analiz ettik ve geçmişteki acil durum deneyimlerimize dayanarak bunun önceden tasarlanmış bir sosyal mühendislik kimlik avı saldırısı olabileceği yönünde spekülasyonlar yaptık.

@0xSentry'den gelen bir tweet'e göre, saldırganların geride bıraktığı dijital izlerden biri, @JunichiSugiura'nın (Jun, eski bir Ledger çalışanı) Gmail hesabının ele geçirilmiş olması ve Ledger'in çalışanın erişimini kaldırmayı unutması olabilir.

Saat 23:09'da yetkililer bu spekülasyonu doğruladı; eski bir Ledger çalışanı kimlik avı saldırısının kurbanı oldu:

1) Saldırgan, çalışanın NPMJS hesabına erişim sağladı;

2) Saldırgan, Ledger Connect Kit'in (1.1.5, 1.1.6 ve 1.1.7) kötü amaçlı sürümlerini yayınladı;

3) Saldırgan, kötü amaçlı kod yoluyla hackerın cüzdan adresine para aktarmak için kötü amaçlı WalletConnect'i kullanır.

Şu anda Ledger, orijinal ve doğrulanmış Ledger Connect Kit 1.1.8 sürümünü yayımladı; lütfen zamanında yükseltin.

Ledger npmjs'in zehirli versiyonu silinmiş olsa da jsDelivr'de hala zehirli js dosyaları var:

https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

CDN faktörleri nedeniyle gecikmeler olabileceğini unutmayın.Resmi öneri, Ledger Connect Kit'i kullanmadan önce 24 saat beklemektir.

Proje taraflarının, üçüncü taraf CDN'lere dayanan ayna kaynakları yayınladıklarında, kötü amaçlı yayınların ve sonraki güncellemelerin yol açabileceği zararları önlemek için ilgili sürümleri kilitlemeyi unutmamaları önerilir. (@galenyuan'ın önerisi)

Şu anda yetkili ilgili önerileri kabul etti ve bundan sonra stratejinin değişeceğine inanıyorum:

Ledger resmi son zaman çizelgesi:

MistTrack Analizi

Süzgeç müşterisi: 0x658729879fca881d9526480b82ae00efc54b5c2d

Süzgeç ücreti adresi: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

MistTrack analizine göre saldırganın (0x658) en az 600.000 ABD doları kazandığı ve kimlik avı grubu Angel Drainer ile ilişkili olduğu belirtiliyor.

Angel Drainer çetesinin ana saldırı yöntemi, alan adı servis sağlayıcılarına ve çalışanlarına sosyal mühendislik saldırıları düzenlemektir.Eğer ilgileniyorsanız, Dark "Angel" - Angel Drainer kimlik avı çetesinin açıklamalarını okumak için tıklayabilirsiniz.

Angel Drainer(0x412) şu anda yaklaşık 363.000 dolarlık varlığa sahip.

SlowMist Tehdit İstihbarat Ağı'na göre aşağıdaki bulgulara ulaşıldı:

1) IP 168.*.*.46, 185.*.*.167

2) Saldırgan bir miktar ETH'yi XMR ile değiştirdi

Saat 23:09'da Tether, Ledger'ı istismar eden kişinin adresini dondurdu. Ayrıca MistTrack ilgili adresleri bloke etti ve fon değişikliklerini izlemeye devam edecek.

Özetle

Bu olay, DeFi güvenliğinin sadece sözleşme güvenliğiyle ilgili olmadığını, bir bütün olarak güvenlikle ilgili olduğunu bir kez daha kanıtlıyor.

Bu olay bir yandan tedarik zinciri güvenliği ihlallerinin ciddi sonuçlara yol açabileceğini gösteriyor. Kötü amaçlı yazılımlar ve kötü amaçlı kodlar, geliştirme araçları, üçüncü taraf kitaplıklar, bulut hizmetleri ve güncelleme süreçleri dahil olmak üzere yazılım tedarik zincirinin farklı noktalarına yerleştirilebilir. Bu kötü amaçlı öğeler başarılı bir şekilde enjekte edildikten sonra, saldırganlar bunları kripto para birimi varlıklarını ve hassas kullanıcı bilgilerini çalmak, sistem işlevselliğini bozmak, işletmelere şantaj yapmak veya kötü amaçlı yazılımları büyük ölçekte yaymak için kullanabilir.

Öte yandan, saldırganlar sosyal mühendislik saldırıları yoluyla kullanıcıların kişisel kimlik bilgilerini, hesap kimlik bilgilerini, şifrelerini ve diğer hassas bilgilerini elde edebilir; saldırganlar ayrıca kullanıcıları kötü amaçlı bağlantılara tıklamaya veya indirmeye ikna etmek için yanıltıcı e-postalar, kısa mesajlar veya telefon çağrıları da kullanabilir. kötü amaçlı dosyalar. Kullanıcılara, harf, sayı ve simgelerin bir kombinasyonunu içeren güçlü şifreler kullanmaları ve bir saldırganın şifreyi tahmin etme veya sosyal mühendislik tekniklerini kullanarak şifreyi ele geçirme olasılığını en aza indirmek için şifreleri düzenli olarak değiştirmeleri önerilir. Aynı zamanda, ek kimlik doğrulama faktörlerini (SMS doğrulama kodları, parmak izi tanıma vb.) kullanarak hesabın güvenliğini artırmak ve bu tür saldırılara karşı önleme yeteneğini geliştirmek için çok faktörlü kimlik doğrulama uygulanmaktadır.

SlowMist güvenlik ekibi tarafından yayınlanan "Web3 Proje Güvenliği Uygulama Gereksinimleri" ve "Web3 Endüstri Tedarik Zinciri Güvenlik Kılavuzu", Web3 proje taraflarına çok yönlü güvenlik önlemlerine dikkat etmeleri konusunda rehberlik etmek ve hatırlatmak için tasarlanmıştır. SlowMist güvenlik ekibi tarafından devreye alınan MistEye güvenlik izleme sistemi, sözleşme izleme, ön uç ve arka uç izleme, güvenlik açığı keşfi ve erken uyarı vb. gibi çok yönlü bilgileri kapsar. DeFi projelerinin tüm sürecinin güvenliğine odaklanır. Etkinlik öncesinde, sırasında ve sonrasında Proje tarafları, riskleri kontrol etmek ve proje güvenliğini artırmak için MistEye güvenlik izleme sistemini kullanabilirler.