Dampaknya tersebar luas, dan Ledger Connect Kit telah diretas

Oleh Lisa, Gunung, Tim Keamanan Kabut Lambat

Menurut intelijen tim keamanan SlowMist, pada malam 14 Desember 2023, waktu Beijing, Ledger Connect Kit mengalami serangan rantai pasokan, dan penyerang mendapat untung setidaknya $600,000.

Tim keamanan Slow Mist turun tangan dalam analisis sesegera mungkin dan mengeluarkan peringatan dini:

Saat ini, insiden tersebut telah diselesaikan secara resmi, dan tim keselamatan Slow Mist sekarang membagikan informasi darurat sebagai berikut:

Garis waktu

Pada pukul 19.43, pengguna Twitter @g4sarah mengatakan bahwa frontend protokol manajemen aset DeFi Zapper diduga telah dibajak.

Pada pukul 8:30 malam, CTO Sushi, Matthew Lilley, tweeted, "Tolong jangan berinteraksi dengan dApp apa pun sampai pemberitahuan lebih lanjut. Konektor Web3 yang umum digunakan (pustaka Java yang merupakan bagian dari proyek web3-react) diduga telah disusupi, memungkinkan injeksi kode berbahaya yang memengaruhi banyak dApps. Kemudian dinyatakan bahwa Ledger mungkin memiliki kode yang mencurigakan. Tim keamanan Slowmist segera menyatakan bahwa mereka sedang menindaklanjuti dan menganalisis insiden tersebut.

Pada pukul 8:56 malam, Revoke.cash tweeted, "Beberapa aplikasi crypto populer yang terintegrasi dengan perpustakaan Ledger Connect Kit, termasuk Revoke.cash, telah dikompromikan. Kami telah menutup sementara situs ini. Sebaiknya jangan gunakan situs web terenkripsi apa pun selama eksploitasi ini. Selanjutnya, Kyber Network, proyek DEX lintas rantai, juga mengatakan bahwa mereka telah menonaktifkan UI front-end dengan sangat hati-hati sampai situasinya menjadi jelas.

Pada pukul 21:31, Ledger juga mengeluarkan pengingat: "Kami telah mengidentifikasi dan menghapus versi berbahaya dari Ledger Connect Kit. Versi asli sedang didorong untuk mengganti file berbahaya, jangan berinteraksi dengan dApps apa pun dulu. Kami akan memberi tahu Anda jika ada sesuatu yang baru. Perangkat Ledger dan Ledger Live Anda belum disusupi. 」

Pada pukul 21:32, MetaMask juga mengeluarkan pengingat: "Pengguna harus memastikan bahwa fitur Blockaid telah diaktifkan di ekstensi MetaMask sebelum melakukan transaksi apa pun di Portofolio MetaMask. 」

Dampak serangan

Tim keamanan SlowMist segera menganalisis kode yang relevan, dan kami menemukan bahwa penyerang menanamkan kode JS berbahaya di versi @ledgerhq/connect-kit=1.1.5/1.1.6/1.1.7, dan langsung mengganti logika jendela normal dengan kelas Drainer, yang tidak hanya akan memunculkan jendela pop-up DrainerPopup palsu, tetapi juga memproses logika transfer berbagai aset. Serangan phishing diluncurkan terhadap pengguna cryptocurrency melalui distribusi CDN.

Versi yang terpengaruh:

@ledgerhq / connect-kit 1.1.5 (Penyerang menyebutkan Inferno dalam kode, mungkin sebagai “anggukan untuk” ke Inferno Drainer, geng phishing yang mengkhususkan diri dalam penipuan multi-rantai)

@ledgerhq/connect-kit 1.1.6 (Penyerang meninggalkan pesan dalam kode dan menanamkan kode JS berbahaya)

@ledgerhq/connect-kit 1.1.7 (Penyerang meninggalkan pesan dalam kode dan menanamkan kode JS berbahaya)

Ledger mengatakan bahwa dompet Ledger itu sendiri tidak terpengaruh, dan bahwa aplikasi yang mengintegrasikan perpustakaan Ledger Connect Kit terpengaruh.

Namun, banyak aplikasi (seperti SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash, dll.) menggunakan Ledger Connect Kit, dan dampaknya hanya akan besar.

Dengan gelombang serangan ini, penyerang dapat mengeksekusi kode arbitrer yang memiliki tingkat hak istimewa yang sama dengan aplikasi. Misalnya, penyerang dapat langsung menguras semua dana pengguna tanpa interaksi, memposting sejumlah besar tautan phishing untuk memikat pengguna agar jatuh cinta padanya, atau bahkan memanfaatkan kepanikan pengguna ketika pengguna mencoba mentransfer aset ke alamat baru, tetapi mengunduh dompet palsu dan kehilangan aset.

Analisis taktik teknis

Kami telah menganalisis dampak serangan di atas, dan berdasarkan pengalaman darurat historis, berspekulasi bahwa itu mungkin merupakan serangan phishing rekayasa sosial yang direncanakan.

Menurut tweet @0xSentry, para penyerang meninggalkan jejak digital yang melibatkan akun Gmail @JunichiSugiura (Jun, mantan karyawan Ledger), yang mungkin telah dikompromikan, dan Ledger lupa menghapus akses ke karyawan tersebut.

Pada pukul 23:09, spekulasi secara resmi dikonfirmasi - seorang mantan karyawan Ledger menjadi korban serangan phishing:

1. Penyerang memperoleh akses ke akun NPMJS karyawan;

2. penyerang merilis versi berbahaya dari Ledger Connect Kit (1.1.5, 1.1.6, dan 1.1.7);

3. Penyerang menggunakan WalletConnect berbahaya untuk mentransfer dana ke alamat dompet peretas melalui kode berbahaya.

Saat ini, Ledger telah merilis Ledger Connect Kit versi 1.1.8 yang terverifikasi dan asli, jadi harap perbarui tepat waktu.

Meskipun versi beracun dari Ledger npmjs telah dihapus, masih ada file js beracun di jsDelivr:

Perhatikan bahwa karena faktor CDN, mungkin ada latensi, dan secara resmi disarankan untuk menunggu 24 jam sebelum menggunakan Ledger Connect Kit.

Disarankan bahwa ketika tim proyek merilis sumber gambar CDN pihak ketiga, ia harus ingat untuk mengunci versi yang relevan untuk mencegah bahaya yang disebabkan oleh rilis berbahaya dan kemudian memperbarui. (Saran dari @galenyuan)

Saat ini, saran yang relevan telah diterima oleh pejabat tersebut, dan diyakini bahwa strategi tersebut akan diubah selanjutnya:

Garis waktu akhir resmi Ledger:

Analisis MistTrack

Pelanggan penguras: 0x658729879fca881d9526480b82ae00efc54b5c2d

Alamat biaya drainer: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

Menurut analisis MistTrack, penyerang (0x658) menghasilkan setidaknya $ 600.000 dan dikaitkan dengan geng phishing Angel Drainer.

Metode serangan utama geng Angel Drainer adalah dengan melakukan serangan rekayasa sosial pada penyedia layanan nama domain dan staf, jika Anda tertarik, Anda dapat mengklik untuk membaca “malaikat” gelap - geng phishing Angel Drainer terungkap.

Angel Drainer (0x412) saat ini memiliki aset hampir $ 363.000.

Menurut SlowMist Threat Intelligence Network, ada temuan berikut:

1)IP 168.*.*.46,185.*.*.167

2. Penyerang telah mengganti beberapa ETH dengan XMR

Pada pukul 23:09, Tether membekukan alamat pengeksploitasi Ledger. Selain itu, MistTrack telah memblokir alamat yang relevan dan akan terus memantau pergerakan dana.

Ringkasan

Kejadian ini sekali lagi membuktikan bahwa keamanan DeFi bukan hanya tentang keamanan kontrak, tetapi juga tentang keamanan.

Di satu sisi, insiden ini menggambarkan konsekuensi serius yang dapat ditimbulkan oleh pelanggaran keamanan rantai pasokan. Malware dan kode berbahaya dapat ditanam di berbagai titik dalam rantai pasokan perangkat lunak, termasuk alat pengembangan, pustaka pihak ketiga, layanan cloud, dan proses pembaruan. Setelah elemen berbahaya ini berhasil disuntikkan, penyerang dapat menggunakannya untuk mencuri aset cryptocurrency dan informasi pengguna yang sensitif, mengganggu fungsionalitas sistem, memeras bisnis, atau menyebarkan malware dalam skala besar.

Di sisi lain, penyerang dapat memperoleh informasi sensitif seperti informasi identitas pribadi pengguna, kredensial akun, dan kata sandi melalui serangan rekayasa sosial, dan juga dapat menggunakan email, pesan teks, atau panggilan telepon palsu untuk memikat pengguna agar mengklik tautan berbahaya atau mengunduh file berbahaya. Pengguna disarankan untuk menggunakan kata sandi yang kuat, termasuk kombinasi huruf, angka, dan simbol, dan mengubah kata sandi secara teratur untuk meminimalkan kemungkinan penyerang menebak atau menggunakan trik rekayasa sosial untuk mendapatkan kata sandi mereka. Pada saat yang sama, otentikasi multi-faktor diterapkan untuk meningkatkan keamanan akun dengan menggunakan faktor otentikasi tambahan (seperti kode verifikasi SMS, pengenalan sidik jari, dll.) untuk meningkatkan perlindungan terhadap jenis serangan ini.