Компания Ledger, популярный производитель аппаратных криптокошельков, предупредила своих клиентов об опасности использования dApps (децентрализованных приложений). Причиной стала обнаруженная атака на цепочку поставок.
Злоумышленники внедрили вредоносный javascript-код в библиотеку Ledger dApp Connect Kit , которая позволяет web3-приложениям взаимодействовать с кошельками Ledger. Этот код автоматически похищал криптовалюту и NFT с подключенных к сервису счетов.
По данным компании, проблема была выявлена утром 14 декабря, после того как аккаунт Ledger на ресурсе NPMJS подвергся фишинговой атаке. Неизвестные опубликовали вредоносный аналог Connect Kit, затрагивающий версии 1.1.5, 1.1.6 и 1.1.7.
Зловредный javascript использовал уязвимость в сторонней библиотеке Wallet Connect, чтобы перенаправлять средства пользователей на счета хакеров. Разработчики удалили скомпрометированные версии Connect Kit и срочно выпустили новую – 1.1.8.
Однако опасность сохраняется для сторонних dApps, которые все еще работают на старых версиях. Пользователям рекомендуют воздержаться от использования этих приложений до решения проблемы.
Как заверили в Ledger, основное программное и аппаратное обеспечение не пострадало. Работоспособность самых популярных продуктов компании, Ledger Live и самих аппаратных криптокошельков, не была нарушена.
Тем не менее компания предупредила об активизации фишинговых атак. Пользователям советуют проявлять бдительность и ни при каких обстоятельствах не сообщать злоумышленникам секретную фразу из 24 слов.
По информации блокчейн-компании SlowMist , компрометация библиотеки Ledger началась еще с версии 1.1.5. Тогда преступники добавили в код текстовое сообщение в качестве проверки.
А в версиях 1.1.6 и 1.1.7 уже содержался хорошо замаскированный вредоносный javascript . Анализ этого скрипта показал, что он также пытался похитить криптовалюту и NFT из таких сервисов, как Coinbase, Trust Wallet и MetaMask.
Расследование инцидента все еще продолжается. Пока не установлены масштабы ущерба, хотя поступали сообщения о хищении порядка 680 000 долларов. Компания Ledger уже предоставила адреса кошельков злоумышленников, а команда Tether заморозила часть похищенных средств в USDT.