WEB3DEV

Cover image for Ataque à Cadeia de Suprimentos do Ledger Connect Kit: Analisando o Impacto e Medidas Preventivas
Paulo Gio
Paulo Gio

Posted on

Ataque à Cadeia de Suprimentos do Ledger Connect Kit: Analisando o Impacto e Medidas Preventivas

https://miro.medium.com/v2/resize:fit:933/1*v2Ees2nlHf3tO09H9xr1rg.png

Contexto

Na noite de 14 de dezembro de 2023, GMT+8, o Ledger Connect Kit (Kit de Conexão Ledger) sofreu um ataque à cadeia de suprimentos, com atacantes roubando pelo menos $600.000. Nossa equipe prontamente iniciou uma investigação abrangente e compartilha a seguinte análise detalhada:

https://miro.medium.com/v2/resize:fit:933/0*bzj3MAab6QtceGX7

https://twitter.com/SlowMist_Team/status/1735299228866613465

Cronologia

Às 19:43, a usuária do Twitter @g4sarah relatou que a interface de usuário do protocolo de gestão de ativos DeFi do Zapper parece ter sido sequestrada.

https://miro.medium.com/v2/resize:fit:933/0*hoZZ6fGQazDHSohI

https://twitter.com/g4sarah/status/1735264310366990672

Às 20:30, Matthew Lilley, Diretor Técnico da Sushiswap, emitiu um alerta no Twitter: “Aconselha-se aos usuários que não interajam com qualquer dApp até novo aviso. Um conector Web3 comumente usado (uma certa biblioteca JavaScript, parte do projeto web3-react) é suspeito de ter sido comprometido, permitindo a injeção de código malicioso, afetando inúmeros dApps.” Posteriormente, ele indicou que a Ledger poderia conter código suspeito. A equipe de segurança da SlowMist também seguiu imediatamente com a investigação.

https://miro.medium.com/v2/resize:fit:933/0*0hiYK2iqOpqVv_G1

https://twitter.com/MatthewLilley/status/1735275960662921638

Às 20:56, Revoke.cash postou no Twitter declarando: “Várias aplicações cripto populares integradas com a biblioteca Ledger Connect Kit, incluindo Revoke.cash, foram comprometidas. Nós temporariamente desativamos nosso site. Recomendamos não usar nenhum site cripto durante a exploração desta vulnerabilidade.” Seguindo isso, o projeto DEX de cadeia cruzada Kyber Network também declarou que, como precaução, havia desativado sua interface de usuário até que a situação fosse esclarecida.

https://miro.medium.com/v2/resize:fit:933/0*AmwWbO8ZxKv7Jfo3

https://twitter.com/RevokeCash/status/1735282669808717958

Às 21:31, a Ledger também emitiu um lembrete: “Identificamos e removemos uma versão maliciosa do Ledger Connect Kit. Uma versão genuína está sendo enviada agora para substituir o arquivo malicioso. Por enquanto, não interaja com nenhum dApp. Manteremos você informado conforme a situação evolui. Seu dispositivo Ledger e o Ledger Live não foram comprometidos.”

https://miro.medium.com/v2/resize:fit:933/0*Hm6v-PYG6yRYRuW_

https://twitter.com/Ledger/status/1735291427100455293

Às 21:32, a MetaMask também emitiu um lembrete: “Os usuários devem garantir que o recurso Blockaid esteja ativado na extensão MetaMask antes de executar quaisquer transações no Portfólio da MetaMask”.

https://miro.medium.com/v2/resize:fit:933/0*rlQrz8MjiSYLjYgz

https://twitter.com/MetaMask/status/1735291650614653364

Impacto do Ataque

A equipe de segurança da SlowMist iniciou imediatamente uma análise do código relevante. Descobrimos que os atacantes implantaram código JavaScript malicioso nas versões @ledgerhq/connect-kit=1.1.5/1.1.6/1.1.7. Eles substituíram diretamente a lógica normal da janela por uma classe Drainer, desencadeando não apenas um popup falso DrainerPopup, mas também manipulando a lógica de transferência de vários ativos. Os atacantes lançaram ataques de phishing contra usuários de criptomoedas por meio de CDN.

https://miro.medium.com/v2/resize:fit:933/0*NiD0FC-oSRhE054e

https://miro.medium.com/v2/resize:fit:933/0*7QRVGs-R_ThMGBoS

Faixa de Versões Afetadas:

@ledgerhq/connect-kit 1.1.5: O atacante mencionou 'Inferno' no código, o que se especula referir-se ao grupo de phishing Inferno Drainer, conhecido por golpes multicadeia.

https://miro.medium.com/v2/resize:fit:933/0*6KqUCf2Mb-AhCdQd

@ledgerhq/connect-kit 1.1.6: O atacante deixou uma mensagem no código e implantou código JS malicioso.

https://miro.medium.com/v2/resize:fit:933/0*-ZT23N0AzbeETOoa

@ledgerhq/connect-kit 1.1.7: O atacante deixou uma mensagem no código e implantou um código JS malicioso.

https://miro.medium.com/v2/resize:fit:933/0*DBB1cP8_aUfbJpDA

A Ledger afirma que a carteira Ledger em si não foi afetada; em vez disso, o impacto está nas aplicações que integraram a biblioteca Ledger Connect Kit.

No entanto, como muitas aplicações usam o Ledger Connect Kit, como SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash, etc., o escopo do impacto é significativo.

Neste ataque, os atacantes podem executar código arbitrário com o mesmo nível de permissões que a aplicação. Por exemplo, os atacantes podem drenar imediatamente os fundos dos usuários sem interação; distribuir inúmeros links de phishing para enganar usuários, ou explorar o pânico dos usuários, convencendo-os a transferir ativos para um novo endereço, resultando em perda de ativos devido ao download de uma carteira falsa.

https://miro.medium.com/v2/resize:fit:933/0*zki7UGWN_BxfOTuI

https://twitter.com/Bitrace_team/status/1735310480787550392

Análise das Técnicas de Ataque

Acima, analisamos o impacto do ataque. Baseado na experiência de resposta a incidentes históricos, especula-se que este pode ser um ataque de phishing de engenharia social premeditado.

Baseado em um tweet de @0xSentry, especula-se que a pegada digital deixada pelos atacantes envolve a conta do Gmail de @JunichiSugiura (Jun, um ex-funcionário da Ledger). Esta conta pode ter sido comprometida, e a Ledger pode ter esquecido de revogar os direitos de acesso deste funcionário.

https://miro.medium.com/v2/resize:fit:933/0*OQWkVRP_d75GY57h

Às 23:09, foi oficialmente confirmado que um ex-funcionário da Ledger se tornou vítima de um ataque de phishing:

1) Os atacantes ganharam acesso à conta NPMJS do funcionário.

2) Eles lançaram versões maliciosas do Ledger Connect Kit (1.1.5, 1.1.6 e 1.1.7).

3) Através do código malicioso, usando um WalletConnect malicioso, fundos foram redirecionados para o endereço da carteira do hacker.

A Ledger agora lançou uma versão verificada e genuína do Ledger Connect Kit, versão 1.1.8, e aconselha atualizações oportunas.

Embora as versões afetadas da Ledger npmjs tenham sido excluídas, ainda existem arquivos JavaScript comprometidos no jsDelivr:

Devido a potenciais atrasos nas atualizações do CDN, é recomendado pelas fontes oficiais esperar 24 horas antes de usar o Ledger Connect Kit.

A recomendação para os mantenedores de projetos é bloquear versões específicas ao publicar dependências através de fontes espelho de CDN de terceiros para prevenir danos potenciais de lançamentos maliciosos e atualizações subsequentes. (Sugerido por @galenyuan)

A equipe oficial reconheceu essas sugestões e espera-se que eles revisem sua estratégia nas mudanças futuras.

https://miro.medium.com/v2/resize:fit:933/0*frA2muNs661sDqeu

Linha do Tempo Final da Ledger

https://miro.medium.com/v2/resize:fit:907/0*4r18hGRF4oHsSJ9U

https://twitter.com/Ledger/status/1735326240658100414

Análise MistTrack

Cliente Drainer: 0x658729879fca881d9526480b82ae00efc54b5c2d

Endereço da taxa do Drainer: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

De acordo com a análise da MistTrack, o atacante (0x658) roubou pelo menos $600.000 e está ligado ao grupo de phishing Angel Drainer.

O principal método de ataque do Angel Drainer envolve ataques de engenharia social em provedores de serviços de domínio e seus funcionários. Mais informações podem ser lidas aqui: Cracking the Code: Unveiling the Deceptive ‘Angel Drainer’ Phishing Gang.

https://miro.medium.com/v2/resize:fit:933/0*4WUnhOnsS-9X87Ba

O Angel Drainer (0x412) atualmente possui ativos no valor de quase $363.000.

https://miro.medium.com/v2/resize:fit:933/0*wxXch6l_kj70FRjE

De acordo com a rede de inteligência de ameaças da SlowMist, as seguintes descobertas foram feitas:

  1. Endereço IP 168...46,185...167
  2. O atacante converteu parte do ETH em XMR (Monero).

Às 23:09, a Tether congelou os endereços dos exploradores da vulnerabilidade da Ledger. Além disso, a MistTrack colocou na lista negra os endereços relacionados e continuará monitorando quaisquer movimentos incomuns de fundos.

Resumo

A análise neste artigo mais uma vez enfatiza que a segurança DeFi não é apenas sobre a segurança de contratos.

Por um lado, este incidente destaca as graves consequências que podem resultar de vulnerabilidades de segurança na cadeia de suprimentos. Software e código maliciosos podem ser implantados em várias etapas na cadeia de suprimentos de software, incluindo ferramentas de desenvolvimento, bibliotecas de terceiros, serviços de nuvem e durante o processo de atualização. Uma vez que esses elementos maliciosos são injetados com sucesso, os atacantes podem usá-los para roubar ativos digitais e informações sensíveis do usuário, interromper a funcionalidade do sistema, extorquir empresas ou espalhar malware em larga escala. É recomendado ler o “Guia de Segurança da Cadeia de Suprimentos da Indústria Web3” da SlowMist, que fornece conselhos de segurança para projetos na indústria Web3, promovendo um desenvolvimento saudável, seguro e estável da indústria.

Por outro lado, os atacantes podem obter informações sensíveis, como informações de identidade pessoal, credenciais de conta e senhas através de ataques de engenharia social. Eles também podem usar e-mails, mensagens de texto ou chamadas telefônicas enganosas para atrair usuários a clicar em links maliciosos ou baixar arquivos maliciosos. Aconselha-se aos usuários usar senhas fortes que combinem letras, números e símbolos, e mudar suas senhas regularmente para minimizar as chances de os atacantes adivinhar ou obter senhas através de táticas de engenharia social. Implementar autenticação multifatorial também aumenta a segurança da conta, adicionando camadas extras de verificação (como códigos SMS, reconhecimento de impressão digital, etc.), aumentando a resiliência contra esses tipos de ataques.

A equipe de segurança da SlowMist lançou os “Requisitos de Prática de Segurança do Projeto Web3” e o “Guia de Segurança da Cadeia de Suprimentos da Indústria Web3”, ambos com o objetivo de orientar e lembrar as equipes de projeto Web3 sobre a importância de medidas de segurança abrangentes. O sistema de monitoramento de segurança MistEye, implantado pela Equipe de Segurança da SlowMist, cobre monitoramento de contrato, monitoramento de front-end e back-end, descoberta de vulnerabilidades e alerta precoce, focando no processo de segurança completo de projetos DeFi antes, durante e após incidentes. As equipes de projeto são encorajadas a usar o sistema de monitoramento de segurança MistEye para gerenciar riscos e aumentar a segurança do projeto.

Sobre a SlowMist

Na SlowMist, nos orgulhamos de ser pioneiros em segurança blockchain, dedicando anos ao domínio da inteligência de ameaças. Nossa expertise está fundamentada em fornecer auditorias de segurança abrangentes e rastreamento avançado de lavagem de dinheiro para uma clientela diversificada. Estabelecemos uma rede robusta para colaboração em inteligência de ameaças, posicionando-nos como um jogador chave no cenário global de segurança blockchain. Oferecemos soluções de segurança sob medida que vão desde a identificação de ameaças até a implementação de mecanismos de defesa eficazes. Esta abordagem holística conquistou a confiança de inúmeros projetos líderes e reconhecidos mundialmente, incluindo nomes como Huobi, OKX, Binance, imToken, Crypto.com, Amber Group, Klaytn, EOS, 1inch, PancakeSwap, TUSD, Alpaca Finance, MultiChain e Cheers UP. Nossa missão é garantir que o ecossistema blockchain não seja apenas inovador, mas também seguro e confiável.

A SlowMist oferece uma variedade de serviços que incluem, mas não se limitam a, auditorias de segurança, informações sobre ameaças, implantação de defesa, consultores de segurança e outros serviços relacionados à segurança. Eles oferecem software AML (Anti-lavagem de dinheiro), Vulpush (Monitoramento de vulnerabilidades), SlowMist Hacked (Arquivos de hacks cripto), FireWall.x (Firewall de contrato inteligente), Safe Staking e outros produtos SaaS. Eles têm parcerias com empresas nacionais e internacionais, como Akamai, BitDefender, FireEye, RC², TianJi Partners, IPIP, etc.

Ao fornecer uma solução de segurança abrangente personalizada para projetos individuais, eles podem identificar riscos e preveni-los de ocorrer. Sua equipe foi capaz de encontrar e publicar várias falhas de segurança blockchain de alto risco. Ao fazer isso, eles puderam espalhar a consciência e elevar os padrões de segurança no ecossistema blockchain.

💬Website 🐦Twitter ⌨️GitHub

Artigo original publicado por SlowMist. Traduzido por Paulinho Giovannini.

Latest comments (0)