Ledger, Francijas vadošais kriptogrāfijas aparatūras maku, ir satricināts. Satraucošs trūkums tika atklāts tās sistēmas kodā savienojumam ar decentralizēto finansējumu (DeFi), radot nopietnus drošības izaicinājumus uzņēmumam un tā lietotājiem.
Atpakaļ uz uzlaušanu
Ledger's Connect Kit, ko izmantoja, lai integrētu decentralizētas lietojumprogrammas (dapps) ar Ledger produktiem, bija hakeru uzbrukuma mērķis. Sākotnēji par incidentu ziņoja Sushi tehniskais vadītājs Metjū Lilijs, kurš brīdināja lietotājus par maka savienotāja kompromisu. Šis trūkums ļāva ievadīt ļaunprātīgu kodu, kas ietekmēja daudzus dapps. Uzbrukums izraisīja uznirstošo logu, kurā lietotāji tika aicināti savienot savu maku, aktivizējot marķiera novirzīšanas mehānismu.
SARKANĀ TRAUKSME:
Nesadarbojieties ar NEVIENU dApps līdz turpmākam paziņojumam. Šķiet, ka bieži izmantotais tīmekļa 3 savienotājs ir apdraudēts, kas ļauj ievadīt ļaunprātīgu kodu, kas ietekmē daudzas dApps.
— Es esmu programmatūra (@MatthewLilley) 2023. gada 14. decembris
Ledger's Connect Kit drošības nepilnība ietekmēja galvenos DeFi protokolus, piemēram, Zapper, SushiSwap, Phantom, Balancer un Revoke.cash, un tas varētu ietekmēt citas līdzīgas sistēmas. Saskaņā ar blokķēdes analīzes platformas Lookonchain datiem, hakeris aiz uzbrukuma nozaga vismaz 4,334 Ether (ETH), kas atbilst gandrīz 484 000 USD.
Hakeris uzbruka#Ledgerun ir nozadzis aptuveni 484 000 $ aktīvus.#LedgerExploiterpārskaitīja 4,334 $ETH uz #AngelDrainer.
Un#AngelDrainerarī pašlaik saņem aktīvus, un tam ir aktīvi 363 000 USD vērtībā.https://t.co/ZG5SRlKBjW pic.twitter.com/RK9aPyAjEE
— Lookonchain (@lookonchain) 2023. gada 14. decembris
Pēc šī drošības pārkāpuma cieta arī franču vienradža konkurents MetaMask. Apzinoties steidzamību, MetaMask ātri reaģēja, ieviešot kritisku atjauninājumu savai platformai. Tās tehniķi apliecināja, ka lietotājiem, kuri ir aprīkoti ar jaunāko versiju v2.121.0, vajadzētu būt iespējai droši atsākt savus darījumus, atjaunināšana tiek veikta automātiski.
Ledžers nekavējās ar reaģēšanu
Divas stundas pēc drošības nepilnības atklāšanas Ledžers ātri rīkojās, aizstājot tā savienotāja apdraudēto versiju ar drošu atjauninājumu. Vienlaikus uzņēmums brīdināja savus lietotājus par to, cik svarīgi ir pārbaudīt darījumu laikā parādīto informāciju. Viņi uzstāja, ka uzticamie dati ir tie, kas parādās Ledger ierīces ekrānā. Uzņēmums arī ieteica lietotājiem būt modriem un pārtraukt jebkuru darījumu, ja uz viņu atslēgas redzamā informācija atšķiras no tās, kas tiek rādīta citos ekrānos.
Vairāk baiļu nekā kaitējuma: Tether ar sava līdera Paolo Ardoino starpniecību paziņoja, ka ir iesaldējusi izmantotāja adresi.
Tether tikko iesaldēja Ledger izmantotāja adresi
— Paolo Ardoino (@paoloardoino) 2023. gada 14. decembris
Stāsta morāle: Pat stiprākais ozols liecas zem vēja.