Пользователи Ledger пострадали от взлома коннектора кошелька с dapps

Разработчик аппаратных кошельков Ledger сообщил о компрометации библиотеки ПО, которую используют децентрализованные приложения. Хакер смог внедрять вредоносный код в их интерфейсы. FINAL TIMELINE AND UPDATE TO CUSTOMERS:4:49pm CET:Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically.

We recommend waiting 24 hours until using the Ledger Connect Kit again.The investigation continues, here is the timeline of what we know about…— Ledger (@Ledger) December 14, 2023 Согласно заявлению, 14 декабря примерно в 4:35 (МСК, 3:35 Киев) злоумышленник заменил подлинную версию Ledger Connect Kit на фейковую. Физические устройства пользователей и приложение Ledger Live атака не затронула. Команда удалила вредоносный файл, новая оригинальная версия 1.1.8 «распространяется автоматически».

Однако разработчики не рекомендовали использовать ПО в течение суток. Предварительное расследование показало, что хакер получил доступ к аккаунту в сервисе NPMJS через фишинговую атаку на экс-сотрудника Ledger.  Размещенный вредоносный файл просуществовал около 5 часов, но промежуток, в котором происходила кража средств, команда оценила в 2 часа. Для вывода активов злоумышленник задействовал WalletConnect, который отключил кошелек скамера.

В Ledger не озвучили сумму ущерба, но заявили, что связались с пострадавшими клиентами для обсуждения компенсации. Для поиска злоумышленника компания намерена обратиться в правоохранительные органы. В Ledger напомнили пользователям, что при совершении транзакции необходимо подписывать их с помощью Clear Sign.