Contexto
Na noite de 14 de dezembro de 2023, GMT+8, o Ledger Connect Kit (Kit de Conexão Ledger) sofreu um ataque à cadeia de suprimentos, com atacantes roubando pelo menos $600.000. Nossa equipe prontamente iniciou uma investigação abrangente e compartilha a seguinte análise detalhada:
https://twitter.com/SlowMist_Team/status/1735299228866613465
Cronologia
Às 19:43, a usuária do Twitter @g4sarah relatou que a interface de usuário do protocolo de gestão de ativos DeFi do Zapper parece ter sido sequestrada.
https://twitter.com/g4sarah/status/1735264310366990672
Às 20:30, Matthew Lilley, Diretor Técnico da Sushiswap, emitiu um alerta no Twitter: “Aconselha-se aos usuários que não interajam com qualquer dApp até novo aviso. Um conector Web3 comumente usado (uma certa biblioteca JavaScript, parte do projeto web3-react) é suspeito de ter sido comprometido, permitindo a injeção de código malicioso, afetando inúmeros dApps.” Posteriormente, ele indicou que a Ledger poderia conter código suspeito. A equipe de segurança da SlowMist também seguiu imediatamente com a investigação.
https://twitter.com/MatthewLilley/status/1735275960662921638
Às 20:56, Revoke.cash postou no Twitter declarando: “Várias aplicações cripto populares integradas com a biblioteca Ledger Connect Kit, incluindo Revoke.cash, foram comprometidas. Nós temporariamente desativamos nosso site. Recomendamos não usar nenhum site cripto durante a exploração desta vulnerabilidade.” Seguindo isso, o projeto DEX de cadeia cruzada Kyber Network também declarou que, como precaução, havia desativado sua interface de usuário até que a situação fosse esclarecida.
https://twitter.com/RevokeCash/status/1735282669808717958
Às 21:31, a Ledger também emitiu um lembrete: “Identificamos e removemos uma versão maliciosa do Ledger Connect Kit. Uma versão genuína está sendo enviada agora para substituir o arquivo malicioso. Por enquanto, não interaja com nenhum dApp. Manteremos você informado conforme a situação evolui. Seu dispositivo Ledger e o Ledger Live não foram comprometidos.”
https://twitter.com/Ledger/status/1735291427100455293
Às 21:32, a MetaMask também emitiu um lembrete: “Os usuários devem garantir que o recurso Blockaid esteja ativado na extensão MetaMask antes de executar quaisquer transações no Portfólio da MetaMask”.
https://twitter.com/MetaMask/status/1735291650614653364
Impacto do Ataque
A equipe de segurança da SlowMist iniciou imediatamente uma análise do código relevante. Descobrimos que os atacantes implantaram código JavaScript malicioso nas versões @ledgerhq/connect-kit=1.1.5/1.1.6/1.1.7. Eles substituíram diretamente a lógica normal da janela por uma classe Drainer, desencadeando não apenas um popup falso DrainerPopup, mas também manipulando a lógica de transferência de vários ativos. Os atacantes lançaram ataques de phishing contra usuários de criptomoedas por meio de CDN.
https://miro.medium.com/v2/resize:fit:933/0*7QRVGs-R_ThMGBoS
Faixa de Versões Afetadas:
@ledgerhq/connect-kit 1.1.5: O atacante mencionou 'Inferno' no código, o que se especula referir-se ao grupo de phishing Inferno Drainer, conhecido por golpes multicadeia.
@ledgerhq/connect-kit 1.1.6: O atacante deixou uma mensagem no código e implantou código JS malicioso.
@ledgerhq/connect-kit 1.1.7: O atacante deixou uma mensagem no código e implantou um código JS malicioso.
A Ledger afirma que a carteira Ledger em si não foi afetada; em vez disso, o impacto está nas aplicações que integraram a biblioteca Ledger Connect Kit.
No entanto, como muitas aplicações usam o Ledger Connect Kit, como SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash, etc., o escopo do impacto é significativo.
Neste ataque, os atacantes podem executar código arbitrário com o mesmo nível de permissões que a aplicação. Por exemplo, os atacantes podem drenar imediatamente os fundos dos usuários sem interação; distribuir inúmeros links de phishing para enganar usuários, ou explorar o pânico dos usuários, convencendo-os a transferir ativos para um novo endereço, resultando em perda de ativos devido ao download de uma carteira falsa.
https://twitter.com/Bitrace_team/status/1735310480787550392
Análise das Técnicas de Ataque
Acima, analisamos o impacto do ataque. Baseado na experiência de resposta a incidentes históricos, especula-se que este pode ser um ataque de phishing de engenharia social premeditado.
Baseado em um tweet de @0xSentry, especula-se que a pegada digital deixada pelos atacantes envolve a conta do Gmail de @JunichiSugiura (Jun, um ex-funcionário da Ledger). Esta conta pode ter sido comprometida, e a Ledger pode ter esquecido de revogar os direitos de acesso deste funcionário.
Às 23:09, foi oficialmente confirmado que um ex-funcionário da Ledger se tornou vítima de um ataque de phishing:
1) Os atacantes ganharam acesso à conta NPMJS do funcionário.
2) Eles lançaram versões maliciosas do Ledger Connect Kit (1.1.5, 1.1.6 e 1.1.7).
3) Através do código malicioso, usando um WalletConnect malicioso, fundos foram redirecionados para o endereço da carteira do hacker.
A Ledger agora lançou uma versão verificada e genuína do Ledger Connect Kit, versão 1.1.8, e aconselha atualizações oportunas.
Embora as versões afetadas da Ledger npmjs tenham sido excluídas, ainda existem arquivos JavaScript comprometidos no jsDelivr:
Devido a potenciais atrasos nas atualizações do CDN, é recomendado pelas fontes oficiais esperar 24 horas antes de usar o Ledger Connect Kit.
A recomendação para os mantenedores de projetos é bloquear versões específicas ao publicar dependências através de fontes espelho de CDN de terceiros para prevenir danos potenciais de lançamentos maliciosos e atualizações subsequentes. (Sugerido por @galenyuan)
A equipe oficial reconheceu essas sugestões e espera-se que eles revisem sua estratégia nas mudanças futuras.
Linha do Tempo Final da Ledger
https://twitter.com/Ledger/status/1735326240658100414
Análise MistTrack
Cliente Drainer: 0x658729879fca881d9526480b82ae00efc54b5c2d
Endereço da taxa do Drainer: 0x412f10AAd96fD78da6736387e2C84931Ac20313f
De acordo com a análise da MistTrack, o atacante (0x658) roubou pelo menos $600.000 e está ligado ao grupo de phishing Angel Drainer.
O principal método de ataque do Angel Drainer envolve ataques de engenharia social em provedores de serviços de domínio e seus funcionários. Mais informações podem ser lidas aqui: Cracking the Code: Unveiling the Deceptive ‘Angel Drainer’ Phishing Gang.
O Angel Drainer (0x412) atualmente possui ativos no valor de quase $363.000.
De acordo com a rede de inteligência de ameaças da SlowMist, as seguintes descobertas foram feitas:
- Endereço IP 168...46,185...167
- O atacante converteu parte do ETH em XMR (Monero).
Às 23:09, a Tether congelou os endereços dos exploradores da vulnerabilidade da Ledger. Além disso, a MistTrack colocou na lista negra os endereços relacionados e continuará monitorando quaisquer movimentos incomuns de fundos.
Resumo
A análise neste artigo mais uma vez enfatiza que a segurança DeFi não é apenas sobre a segurança de contratos.
Por um lado, este incidente destaca as graves consequências que podem resultar de vulnerabilidades de segurança na cadeia de suprimentos. Software e código maliciosos podem ser implantados em várias etapas na cadeia de suprimentos de software, incluindo ferramentas de desenvolvimento, bibliotecas de terceiros, serviços de nuvem e durante o processo de atualização. Uma vez que esses elementos maliciosos são injetados com sucesso, os atacantes podem usá-los para roubar ativos digitais e informações sensíveis do usuário, interromper a funcionalidade do sistema, extorquir empresas ou espalhar malware em larga escala. É recomendado ler o “Guia de Segurança da Cadeia de Suprimentos da Indústria Web3” da SlowMist, que fornece conselhos de segurança para projetos na indústria Web3, promovendo um desenvolvimento saudável, seguro e estável da indústria.
Por outro lado, os atacantes podem obter informações sensíveis, como informações de identidade pessoal, credenciais de conta e senhas através de ataques de engenharia social. Eles também podem usar e-mails, mensagens de texto ou chamadas telefônicas enganosas para atrair usuários a clicar em links maliciosos ou baixar arquivos maliciosos. Aconselha-se aos usuários usar senhas fortes que combinem letras, números e símbolos, e mudar suas senhas regularmente para minimizar as chances de os atacantes adivinhar ou obter senhas através de táticas de engenharia social. Implementar autenticação multifatorial também aumenta a segurança da conta, adicionando camadas extras de verificação (como códigos SMS, reconhecimento de impressão digital, etc.), aumentando a resiliência contra esses tipos de ataques.
A equipe de segurança da SlowMist lançou os “Requisitos de Prática de Segurança do Projeto Web3” e o “Guia de Segurança da Cadeia de Suprimentos da Indústria Web3”, ambos com o objetivo de orientar e lembrar as equipes de projeto Web3 sobre a importância de medidas de segurança abrangentes. O sistema de monitoramento de segurança MistEye, implantado pela Equipe de Segurança da SlowMist, cobre monitoramento de contrato, monitoramento de front-end e back-end, descoberta de vulnerabilidades e alerta precoce, focando no processo de segurança completo de projetos DeFi antes, durante e após incidentes. As equipes de projeto são encorajadas a usar o sistema de monitoramento de segurança MistEye para gerenciar riscos e aumentar a segurança do projeto.
Sobre a SlowMist
Na SlowMist, nos orgulhamos de ser pioneiros em segurança blockchain, dedicando anos ao domínio da inteligência de ameaças. Nossa expertise está fundamentada em fornecer auditorias de segurança abrangentes e rastreamento avançado de lavagem de dinheiro para uma clientela diversificada. Estabelecemos uma rede robusta para colaboração em inteligência de ameaças, posicionando-nos como um jogador chave no cenário global de segurança blockchain. Oferecemos soluções de segurança sob medida que vão desde a identificação de ameaças até a implementação de mecanismos de defesa eficazes. Esta abordagem holística conquistou a confiança de inúmeros projetos líderes e reconhecidos mundialmente, incluindo nomes como Huobi, OKX, Binance, imToken, Crypto.com, Amber Group, Klaytn, EOS, 1inch, PancakeSwap, TUSD, Alpaca Finance, MultiChain e Cheers UP. Nossa missão é garantir que o ecossistema blockchain não seja apenas inovador, mas também seguro e confiável.
A SlowMist oferece uma variedade de serviços que incluem, mas não se limitam a, auditorias de segurança, informações sobre ameaças, implantação de defesa, consultores de segurança e outros serviços relacionados à segurança. Eles oferecem software AML (Anti-lavagem de dinheiro), Vulpush (Monitoramento de vulnerabilidades), SlowMist Hacked (Arquivos de hacks cripto), FireWall.x (Firewall de contrato inteligente), Safe Staking e outros produtos SaaS. Eles têm parcerias com empresas nacionais e internacionais, como Akamai, BitDefender, FireEye, RC², TianJi Partners, IPIP, etc.
Ao fornecer uma solução de segurança abrangente personalizada para projetos individuais, eles podem identificar riscos e preveni-los de ocorrer. Sua equipe foi capaz de encontrar e publicar várias falhas de segurança blockchain de alto risco. Ao fazer isso, eles puderam espalhar a consciência e elevar os padrões de segurança no ecossistema blockchain.
Artigo original publicado por SlowMist. Traduzido por Paulinho Giovannini.
Top comments (0)