Cointime

扫码下载App
iOS & Android

Ledger Connect Kit 被黑之谜

By: Lisa & 山@慢雾安全团队

据慢雾安全团队情报,北京时间 2023 年 12 月 14 日晚,Ledger Connect Kit 遭受供应链攻击,攻击者至少获利 60 万美元。

慢雾安全团队第一时间介入分析,并发出预警:

据慢雾安全团队情报,北京时间 2023 年 12 月 14 日晚,Ledger Connect Kit 遭受供应链攻击,攻击者至少获利 60 万美元。

慢雾安全团队第一时间介入分析,并发出预警:

目前该事件已经得到官方解决,慢雾安全团队现将应急信息分享如下:

时间线

7:43 PM,推特用户 @g4sarah 表示 DeFi 资管协议 Zapper 的前端疑似被劫持。

8:30 PM,Sushi 首席技术官 Matthew Lilley 在推特发布警告称:“请用户切勿与任何 dApp 交互,直至另行通知。一个常用的 Web3 connector(某 JavaScript 库,是 web3-react 项目的一部分)疑似已被破坏,允许注入影响众多 dApp 的恶意代码。”随后,其表示 Ledger 可能存在可疑代码。慢雾安全团队第一时间表示正在跟进和分析此事件。

8:56 PM,Revoke.cash 于推特发文表示:“与 Ledger Connect Kit 库集成的多个常用加密应用程序(包括 Revoke.cash)已受到损害。我们暂时关闭了该网站。我们建议在该漏洞利用期间不要使用任何加密网站。” 随后,跨链 DEX 项目Kyber Network 也表示,出于谨慎考虑,其已禁用前端 UI,直到情况明确为止。

9:31 PM,Ledger 也发布提醒:“我们已识别并删除了 Ledger Connect Kit 的恶意版本。现在正在推送正版版本来替换恶意文件,暂时不要与任何 dApp 交互。有新情况的话,我们会通知您。您的 Ledger 设备和 Ledger Live 没有受到损害。”

9:32 PM,MetaMask 也发布提醒:“用户在 MetaMask Portfolio 上执行任何交易之前,请确保已在 MetaMask 扩展中启用 Blockaid 功能。”

攻击影响

慢雾安全团队立即展开对相关代码的分析,我们发现攻击者在 @ledgerhq/connect-kit =1.1.5/1.1.6/1.1.7 版本中植入恶意的 JS 代码,直接用 Drainer 类替换正常的窗口逻辑,不仅会弹出伪造的 DrainerPopup 弹窗,也会处理各种资产的转账逻辑。通过 CDN 分发对加密货币用户发起钓鱼攻击。

影响版本范围:

@ledgerhq/connect-kit 1.1.5 (攻击者在代码中提到 Inferno,猜测是向专门从事多链诈骗的钓鱼团伙 Inferno Drainer “致敬”)

@ledgerhq/connect-kit 1.1.6 (攻击者在代码中留言并植入恶意的 JS 代码)

@ledgerhq/connect-kit 1.1.7 (攻击者在代码中留言并植入恶意的 JS 代码)

Ledger 表示 Ledger 钱包本身没影响,受影响的是集成了 Ledger Connect Kit 库的应用程序。

然而,许多应用程序都使用了 Ledger Connect Kit(如SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash 等),影响面只会大不会小。

攻击者这一波攻击,就可以执行与应用程序具有相同权限级别的任意代码。例如,攻击者无需交互即可立即耗尽用户的所有资金;发布大量钓鱼链接诱导用户上当;甚至利用用户的恐慌情绪,用户试图将资产转入新地址,但下载了假钱包导致资产损失。

技战法分析

上面我们分析了攻击的影响,根据历史应急经验推测,这可能是一起有预谋的社会工程学钓鱼攻击。

根据 @0xSentry 的推文,攻击者留下的数字痕迹中涉及 @JunichiSugiura(Jun,Ledger前员工)的 Gmail 账户,该帐户可能已被泄露,并且 Ledger 忘记删除该员工的访问权限了。

11:09 PM,官方证实了此猜测 —— 一名前 Ledger 员工成为网络钓鱼攻击的受害者:

1)攻击者获得了对该员工 NPMJS 帐户的访问权限;

2)攻击者发布了 Ledger Connect Kit 的恶意版本(1.1.5、1.1.6 和 1.1.7);

3)攻击者通过恶意代码,使用恶意 WalletConnect 将资金指定转移到黑客钱包地址。

目前,Ledger 已发布了经过验证的正版 Ledger Connect Kit 版本1.1.8,请及时升级。

虽然 Ledger npmjs 被投毒的版本已经删除,但目前在 jsDelivr 上还有带毒 js 文件:

https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1.1.7

https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1.1.6

注意因为 CDN 的因素可能存在的延迟,官方建议等 24 小时后再使用 Ledger Connect Kit。

建议项目方发布依赖第三方 CDN 镜像源时,一定记得锁定相关版本,防止恶意发版然后更新带来的危害。(来自 @galenyuan 的建议)

目前官方已经接受相关建议,相信接下来会更改策略:

Ledger 官方最终时间线:

MistTrack 分析

Drainer customer: 0x658729879fca881d9526480b82ae00efc54b5c2d

Drainer fee address: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

据 MistTrack 分析,攻击者(0x658) 至少获利 60 万美元,且与钓鱼团伙 Angel Drainer 有关联。

Angel Drainer 团伙主要的攻击方式是对域名服务提供商及工作人员进行社会工程学攻击,感兴趣可点击阅读黑暗“天使” —— Angel Drainer 钓鱼团伙揭秘

Angel Drainer(0x412) 目前持有近 36.3 万美元的资产。

根据慢雾威胁情报网络,有如下发现:

1)IP 168.*.*.46,185.*.*.167

2)攻击者已将部分 ETH 换为 XMR

11:09 PM,Tether 冻结了 Ledger 漏洞利用者的地址。另外,MistTrack 已拉黑相关地址,并将持续监控资金异动。

总结

本次事件再次印证 DeFi 安全不仅仅是合约安全,安全是一个整体。

一方面,本次事件体现了供应链安全漏洞可能导致严重的后果。恶意软件和恶意代码可以在软件供应链的不同环节中植入,包括开发工具、第三方库、云服务和更新过程。一旦这些恶意元素被成功注入,攻击者可以利用它们来窃取加密货币资产和用户敏感信息、破坏系统功能、勒索企业或大规模传播恶意软件。

另一方面,攻击者可以通过社会工程学攻击方式获取用户的个人身份信息、帐户凭据、密码等敏感信息;攻击者也会使用欺骗性的电子邮件、短信或电话等方式,引诱用户点击恶意链接或下载恶意文件。建议用户使用强密码,包括字母、数字和符号的组合,并定期更改密码,以最大程度地减少攻击者猜测或使用社会工程技巧获取密码的机会。同时,实施多因素身份验证,通过使用额外的认证因素(如短信验证码、指纹识别等)来增加账户的安全性,提高对这种类型攻击的防范能力。

慢雾安全团队发布的 《Web3 项目安全实践要求》和《Web3 行业供应链安全指南》,均旨在指导与提醒 Web3 项目方注意全方位的安全措施。慢雾安全团队部署的 MistEye 安全监控系统,涵盖合约监控、前后端监控、漏洞发现预警等全方位信息,关注 DeFi 项目事前、事中、事后全流程安全,欢迎项目方使用 MistEye 安全监控系统把控风险,提高项目安全性。

评论

所有评论

推荐阅读

  • JuCoin CEO:加密行业UX设计需关注用户情感细节,提升用户体验

    Cointime消息,JuCoin CEO Sammi Li 在TOKEN2049 大会上发表了主题演讲,剖析当前加密行业在用户体验(UX)设计上的挑战。Sammi Li 认为,现有加密产品体验未能有效共情用户,常导致使用焦虑,这阻碍了Web3的大规模采用。她结合在奢侈品行业的丰富经验,强调信任的建立在于关注用户情感和关键互动时刻,通过细节而非单纯的技术宣讲来构建。JuCoin 正将这些以用户为中心的设计原则应用于其Web3生态构建中,旨在通过优化JuChain及相关产品设计,降低用户门槛并提升使用感受。其呼吁加密行业共同思考,将用户体验置于更核心位置。

  • NEXUS 2140 全球大会主席 Fardi Wang 亮相迪拜 Meta Crypto Oasis 2025

    NEXUS 2140全球大会主席Fardi Wang近日亮相迪拜Meta Crypto Oasis 2025峰会,与孙宇晨(TRON创始人)、Chris(Sonic联合创始人)等全球Web3领袖共议行业未来。作为首个AI×Web3×电商跨界盛会,NEXUS 2140通过Fardi Wang的深度参与加速国际化布局。Fardi Wang在峰会中强调,虚实资产融合是Web3生态突破的核心,并分享了NEXUS 2140依托韩国政策、技术及生态优势,构建全球产业枢纽的实践。其观点获现场高度认可,迪拜之行进一步强化展会国际影响力,为全球数字经济协作注入新动能。

  • Binance Wallet新TGE B² Network已开放投入

    据官方页面数据,Binance Wallet 新 TGE B² Network 现已开放投入,结束时间为 18:00(UTC+8)。本次 TGE 参与门槛,Alpha 积分需达 82 分。

  • Binance Wallet新TGE B² Network参与积分需满足82分

    据官方公告,Binance Wallet 公布新一期 B² Network(B2)TGE 参与门槛,Alpha 积分需达 82 分。

  • 美财长贝森特:希望获得长期的关税收入和协议

    美国财长贝森特表示,希望获得长期的关税收入和协议,美将在未来几周内与至少 17 个合作伙伴进行会谈。有很大机会在税收法案中看到所得税减免,关税收入或可用于减税。

  • MilkyWay已开放空投申领

    4月29日消息,MilkyWay在社交平台上表示,已开放空投申领,申领将于2025年5月29日18时截止。

  • 美国现货比特币ETF昨日净流入4.4246亿美元

    据TraderT监测,美国现货比特币ETF昨日净流入4.4246亿美元。

  • Solana生态游戏项目MagicBlock 完成 750 万美元种子轮融资,Faction 领投

    4月25日消息,Solana生态游戏项目MagicBlock 宣布完成 750 万美元种子轮融资,本次融资由 Lightspeed 旗下 Faction 领投,Maven11、Mechanism Capital、Robot Ventures、Delphi Ventures、Equilibrium、Pivot Global 等机构以及 Solana 联合创始人 Toly 等天使投资人参投。

  • 现货黄金持续走低

    现货黄金持续走低,跌幅扩大至2%,报3315.49美元/盎司。

  • BTC突破93500美元

    行情显示,BTC突破93500美元,现报93506.58美元,24小时涨幅达到6.12%,行情波动较大,请做好风险控制。