В Ledger озвучили сумму ущерба пользователей от недавнего взлома

В результате компрометации 14 декабря библиотеки Ledger Connect Kit ущерб пользователей кошелька составил около $600 000. We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe. We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.Ledger…— Ledger (@Ledger) December 20, 2023 Согласно заявлению, компания полностью компенсирует ущерб пострадавшим.

Контролировать возмещение будет CEO Ledger Паскаль Готье. Фирма также опубликовала отчет об инциденте, который уточнил некоторые детали предварительного расследования. Утром 14 декабря злоумышленник через фишинговую атаку на экс-сотрудника Ledger получил доступ к его аккаунту в сервисе NPMJS.

С 12:49 по 14:37 МСК хакер опубликовал вредоносную версию библиотеки Ledger Connect Kit. Это решение с открытым исходным кодом, с помощью которого разработчики dapps подключают приложения к оборудованию Ledger. DeFi-платформы автоматически подхватили обновленное ПО.

Схема атаки. Данные: Ledger.Для перенаправления активов в свои кошельки взломщик использовал фейковый проект WalletConnect. В 16:45 в Ledger узнали о ведущейся атаке благодаря реакции сообщества и прямому сообщению через X команды Blockaid.

Примерно через полчаса информацию получили специалисты по безопасности и в течение 40 минут заменили мошенническое ПО на подлинное. Но из-за особенностей сети доставки контента и механизмов кэширования в интернете вредоносный файл оставался доступным около 5 часов. Однако, по оценке Ledger, период, в который злоумышленник опустошал кошельки жертв, составил менее двух часов.