[Перевод] Очередной инцидент с Ledger: Атака на цепочку поставок
В этом посте мы объясним, что произошло, почему это важно и как вы можете обезопасить свои активы.
Оригинал: https://21ideas.org/posts/ledger-attack/
Атаки на цепочки поставок представляют собой одну из наиболее значимых угроз в сфере безопасности для держателей биткоина. Сегодня произошел крупный инцидент в области кибербезопасности, затрагивающий множество криптовалютных приложений.
Что такое атака на цепочку поставок?
Атака на цепочку поставок происходит, когда злоумышленники манипулируют процессом доставки продуктов или услуг от доверенного источника, внедряя вредоносные компоненты. Это не обязательно ограничивается физическими компонентами (например, аппаратным обеспечением); атаки могут также затрагивать программное обеспечение, включая код, который загружается или выполняется на вашем устройстве. Такие атаки особенно опасны, поскольку они эксплуатируют доверие к источникам, считающимся надежными.
Сегодняшняя атака на Ledger
Недавно выявленная уязвимость связана с «Ledger Connect Kit» — программной библиотекой, которая находит широкое применение в множестве приложений. Библиотеки, как неотъемлемый элемент разработки программного обеспечения, облегчают и ускоряют процесс создания и развертывания приложений для разработчиков. Однако их недостатком является то, что если в них обнаруживается уязвимость, она потенциально может затронуть все приложения, использующие эту библиотеку. Это служит одной из основных причин, почему приложениям регулярно требуются обновления.
Сегодня в течение нескольких часов все пользователи приложений, базирующихся на Ledger Connect Kit, подвергались воздействию вредоносного кода. По предварительной информации, вредоносный код создает фальшивое всплывающее окно «Ledger», которое появляется в момент, когда пользователь выбирает свой кошелек. Кроме того, код способен генерировать всплывающие окна запроса на подпись в браузерных кошельках, призванные убедить пользователя подтвердить перевод средств на счет злоумышленника. Важно осознавать, что ваши средства могут находиться под угрозой, даже если вы не используете устройство Ledger непосредственно.
В сегодняшней атаке на цепочку поставок был внедрен «сливщик» кошельков (wallet drainer) в библиотеку Ledger «wallet connect», используемую множеством web3/DeFi приложений. «Сливщик» кошельков — это вид смарт-контракта, который, получив разрешение на управление вашим кошельком, автоматически перенаправляет все средства злоумышленникам. Главное в этой схеме — получение вашего одобрения через криптографически подписанное сообщение. Злоумышленники, использующие такие сливщики, прибегают к различным обманным маневрам, чтобы убедить вас подписать согласие, позволяющее их контракту получить доступ к вашим средствам. Одним из таких примеров могут быть мошеннические всплывающие окна или сообщения, представляющиеся легитимными запросами:
Хотя компания Ledger уже устранила проблему с вредоносным кодом, остается риск того, что в ближайший день или около того пользователи могут невольно загрузить кэшированную версию этого вредоносного кода. Для того чтобы убедиться в отсутствии кэшированной вредоносной версии библиотеки, рекомендуется посетить веб-адрес https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit и проверить, что установлена актуальная версия библиотеки, 1.1.8. Это обеспечит дополнительный уровень безопасности и предотвратит потенциальные риски.
Если это не так, очистите кэш браузера. В Chrome это можно сделать через
Остерегайтесь единых точек отказа
Сегодняшнее событие стало ярким напоминанием о том, что несмотря на децентрализованный характер криптовалютной экосистемы, в ней по-прежнему присутствуют уязвимые места. Удивительно, как взлом учетной записи одного (бывшего) сотрудника может вызвать масштабные последствия и поставить под угрозу активы множества пользователей из-за взаимосвязанной структуры широко используемых программных библиотек.
Если значительная часть ваших сбережений находится в биткоине, крайне важно обеспечить их защиту с помощью нескольких ключей. Наилучшее время для повышения безопасности ваших активов — это сейчас, до того как произойдет следующая атака. Если вы сомневаетесь в безопасности своих биткоинов, рекомендуем обратить внимание на теоретический раздел «Безопасность» и практический раздел «Хранение» на нашем сайте.
Интересуетесь переходом с кошелька Ledger на более надежный вариант? Приобрести новый аппаратный кошелек можно со скидкой 5% в интернет-магазине Sunscrypt. Используйте промокод
21i
для получения скидки.