Ledger, yeni Ledger Stax donanım cüzdanını, ilk lansman tarihi ertelendikten sonra, bir yıldan fazla bir süre önce ön sipariş veren müşterilere göndermeye başladı. 6 Aralık 2022'de Ledger Op3n Web3 geliştirici konferansında Ledger'in, Ledger Stax adında yeni bir donanım cüzdanı geliştirmek için iPod'un mucidi Tony Fadell ile işbirliği yaptığını açıkladığı bildirildi. Ancak ürün söz verildiği gibi teslim edilmedi.

Ledger, sosyal medyada geçen hafta yaşanan büyük ölçekli güvenlik olayından yaklaşık 600.000 dolarlık varlığın etkilendiğini ve EVM DApp'e körü körüne imza atan kullanıcılardan çalındığını bildirdi. Ledger, etkilenen bireylerin (Ledger olmayan kullanıcılar dahil) Şubat 2024'ün sonundan önce fonlarını kurtarmalarına yardımcı olmak için elinden geleni yapacaktır ve Clear Signing'e izin vermek için DApp ekosistemiyle birlikte çalışmayı taahhüt etmiştir. Ledger'ın Haziran 2024'ten önce. Cihaz, Kör İmzalama gerçekleştirir.

Ledger yetkilileri, lütfen devam eden kimlik avı ve dolandırıcılıklara karşı dikkatli olmanızı belirtti. Ledger'ın yalnızca iki gerçek sosyal medya hesabı vardır, @ledger ve @ledger_support. Geri kalanı sahte hesaplardır ve sizden 24 kelimelik gizli kurtarma ifadenizi isteyen herkes bir suçludur.

SlowMist güvenlik ekibinden alınan istihbarata göre, Pekin saatiyle 14 Aralık 2023 akşamı Ledger Connect Kit bir tedarik zinciri saldırısına uğradı ve saldırgan en az 600.000 ABD doları kazandı. SlowMist güvenlik ekibi analize anında müdahale ederek erken uyarıda bulundu:

Slow Mist'in kurucusu Yu Xian, Ledger güvenlik açığı hakkında sosyal medyada şunları paylaştı: 1. Ledger modülü ledgerhq/connect-kit'in zehirlenmesi sorunu temel olarak hafifletildi, ancak zehirlenen kod hala tarayıcıda önbelleğe alınmış olabilir. kesin değil, Tarayıcı önbelleğini temizlediğinizden emin olun (kullandığınız cüzdan uygulamasının yerleşik tarayıcı önbelleği dahil); 2. Kullanıcılar imzalanacak cüzdandaki her işlemi iki kez kontrol etmelidir; 3. Ledger cüzdanı 4. Bu tedarik zinciri saldırısı Detaylar çok ilgi çekici ve bu karanlık ormanda bu tür avcılar nadir değil 5. Tether zamanında harekete geçti ve USDT'nin balıkçılıktan elde ettiği karı dondurdu. Buna karşılık USDC göz ardı edildi her zamanki gibi.

Zapper, SushiSwap, Phantom, Balancer ve Revoke.cash dahil olmak üzere birçok Ethereum tabanlı uygulama, Ledger'deki güvenlik kusurları nedeniyle Perşembe günü erken saatlerde saldırıya uğradı. Bu saldırıya Ledger Connect Kit'e yapılan bir tedarik zinciri saldırısı neden oldu. Kaç tane merkezi olmayan uygulamanın (dapp) etkilendiği veya ne kadar paranın kaybolduğu belli değil. Sushi'nin CTO'su Matthew Lilley Twitter'da "Lütfen bir sonraki duyuruya kadar herhangi bir dApp ile etkileşime girmeyin" diye yazdı.

Bilgisayar korsanları, kripto cüzdan şirketi Ledger tarafından yönetilen ve yaygın olarak kullanılan bir blockchain yazılımı olan Connect Kit'in Github deposuna kötü amaçlı kod ekledikten sonra Perşembe günü 484.000 dolar çaldı. Kütüphaneyi kullanan birçok önemli merkezi olmayan finans (DeFi) protokolü etkilendi ve kullanıcılar, bu protokoller güncellenene kadar merkezi olmayan uygulamaları (dApp'ler) kullanmamaları konusunda uyarıldı. Ledger'ın Bağlantı Kiti, DeFi protokollerinin kripto donanım cüzdanlarına bağlanmasını sağlayan bir kod parçasıdır. Bu güvenlik açığı, diğerlerinin yanı sıra Sushi, Lido, Metamask ve Coinbase dahil olmak üzere Connect Kit'i kullanan tüm protokollerin ön uçlarını potansiyel olarak etkileyebilir. Ledger kendi kodunu güncellerken, Ledger'in Connect Kit'ini kullanan her protokolün, riski tamamen azaltmak için kitaplığın kendi sürümünü manuel olarak güncellemesi gerekiyor.

Safe (eski adıyla Gnosis Safe), X platformunda Ledger Connect güvenlik açığının çözüldüğünü yayınladı. Güvenlikten taviz verilmedi. Safe bu güvenlik açığından etkilenmez. Güvenlik Uygulaması ve WalletConnect işlevleri geri yüklendi ve gelişmiş güvenlik amacıyla saldırganın hesabı kullanıcı arayüzünde işaretlendi ve işaretlendi.

Scopescan, X platformunda Ledger saldırganlarının fonları yeni adreslere aktardığını ve USDC'yi ETH ile takas ettiğini söyledi. Şu ana kadar yaklaşık 150.000 dolarlık varlık transfer edildi. Daha önce bu adres, ChangeNOW platformunda bir miktar ETH'nin karıştırılmasını test etmeye çalışmıştı.

Ledger, X platformunda orijinal ve doğrulanmış Ledger Connect Kit 1.1.8 sürümünün artık yayıldığını ve kullanımının güvenli olduğunu belirten en son güvenlik açığı güncellemesini yayınladı. Ledger Connect Kit kodunu geliştiren ve onunla etkileşime giren inşaatçılar için: NPM projesindeki bağlantı kiti geliştirme ekibi artık salt okunurdur ve güvenlik nedeniyle NPM paketlerini doğrudan iletemez. Ayrıca kötü amaçlı kod, fonları saldırıya uğramış cüzdanlara yeniden yönlendirmek için sahte WalletConnect projesini kullandı. - Ledger'in teknik ve güvenlik ekipleri uyarıldı ve Ledger'in farkına varmasından sonraki 40 dakika içinde bir düzeltme uygulandı. Kötü amaçlı dosya yaklaşık beş saat boyunca varlığını sürdürdü ancak fonların tükendiği pencere iki saatten daha kısa bir süre ile sınırlıydı. Ekip, şikayette bulunuyor ve saldırganı bulmak için soruşturma konusunda kolluk kuvvetleriyle birlikte çalışıyor ve daha fazla saldırıyı önlemek için güvenlik açığını araştırıyor.