سازنده کیف پول سخت‌افزاری می‌گوید این آسیب‌پذیری برطرف شده است، اما کاربران چندین dApp و پروتکل همچنان نسبت به استفاده از آنها تا زمانی که وضعیت روشن‌تر شود هشدار داده می‌شود.

کاربران کریپتو صبح پنجشنبه شاهد تخلیه ارزهای دیجیتال به ارزش تقریبی 500,000 دلار از کیف پول‌هایشان بودند که دلیل آن به خطر افتادن کیت اتصال Ledger’s Connector ارائه‌دهنده کیف پول سخت‌افزاری بود که امکان بهره‌برداری از بخش جلویی چندین برنامه غیرمتمرکز (dApps) را فراهم کرد. 

این آسیب‌پذیری به دلیل اینکه کاربران برای تحت تأثیر قرار گرفتن نیازی به استفاده از کیف پول Ledger نداشتند و این واقعیت که روی dApps در چندین زنجیره تأثیر می‌گذاشت، هیاهوی گسترده‌ای در جامعه رمزنگاری ایجاد کرد.

بر اساس رشته X ارائه‌دهنده کیف پول رمزنگاری، لجر از آن زمان نسخه مخرب Ledger Connect Kit را حذف کرده و چند ساعت پس از کشف این آسیب‌پذیری، آن را با «نسخه اصلی» جایگزین کرده است. + نوشته شده در در ساعت 8:31 صبح ET. 

بر اساس Ledger’s جدول زمانی نهایی و به روز رسانی برای مشتریان، مهاجم توانست نسخه مخربی از Ledger Connect Kit را منتشر کند زیرا "امروز صبح CET، یک کارمند سابق قربانی یک حمله فیشینگ شد که به حساب NPMJS آنها دسترسی پیدا کرد." NPMJS یک رجیستری نرم افزاری برای زبان برنامه نویسی JavaScript است که فرایند را برای توسعه و استفاده مجدد از کد توسعه دهندگان ساده می کند. 

این شرکت به کاربران یادآوری کرد که "همیشه معاملات خود را پاک کنید" و "اگر تفاوتی بین صفحه نمایش داده شده در دستگاه لجر و صفحه نمایش رایانه/تلفن شما وجود دارد، آن تراکنش را متوقف کنید. بلافاصله. مستقیما."

متیو لیلی ، مدیر ارشد فناوری در Sushiswap مبادله ای غیر متمرکز ، نوشت در صبح پنجشنبه در X که، "خوشبختانه، به لطف کمی شانس و تصادف در کشف این زودهنگام، به نظر می رسد آسیب در سراسر جهان محدود است." 

به کاربران هشدار داده شد که همچنان محتاط باشند

لجر گفت: "نسخه اصلی جدید باید به زودی منتشر شود" و با این حال مردم همچنان به کاربران رمزارز هشدار می دهند که از dApps و پروتکل های رمزنگاری استفاده نکنند. یک مدیر انجمن Synthetix خواسته همه در اختلاف نظر از تعامل با Dapp Staking خودداری می کنند ، در حالی که Camelot "به شدت" توصیه می کند "هرکسی تا زمانی که اوضاع کاملاً روشن نشود ، با هیچ DAPP تعامل ندارند." 

حتی پس از اینکه لجر کدهای بد موجود در کتابخانه خود را تصحیح کرد، پروژه‌هایی که از آن کتابخانه استفاده می‌کنند و به کار می‌برند، قبل از ایمن بودن استفاده از برنامه‌هایی که از کتابخانه‌های Ledger web3 استفاده می‌کنند، باید موارد را به‌روزرسانی کنند. نوشت Polygon Labs معاون هادسون جیمسون در X. 

پایگاه کد کیت کانکتور Ledger حاوی خطی بود که می گفت "MinimalDrainValue" ، منبع آسیب پذیری اخیر است. این مصالحه بر کاربران فرانت‌اند تأثیر گذاشت زیرا اگر افراد با رابط برنامه‌های غیرمتمرکز مانند SushiSwap، Zapper و RevokeCash تعامل داشته باشند، یک پنجره مخرب ظاهر می شود و هنگامی که کاربران کیف پول خود را به هم وصل کردند ، وجوه آنها تخلیه می شود.

🚨 کتابخانه دفتر تایید شد که به خطر افتاده و با یک آبچکان جایگزین شده است. منتظر بمانید تا با هر داپی تعامل داشته باشید تا همه چیز واضح تر شود.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv

- banteg (bantg) دسامبر 14، 2023

این اولین بار نیست که لجر با نگرانی های امنیتی روبرو شده است. به عنوان مثال، در سال 2020، لجر رنج یک حمله سایبری که منجر به افشای 1 میلیون آدرس ایمیل در RaidForums و همچنین اطلاعات شخصی دقیق مانند آدرس پستی، نام و شماره تلفن شد. دفتر امور عمومی ایالات متحده نام Raidforums "یک بازار محبوب برای مجرمان سایبری برای خرید و فروش داده های هک شده است." همچنین در سال 2020 ، یک ایمیل پشتیبانی از لجر را جعل می کند استفاده یک تکنیک فیشینگ برای مشتریان در تلاش برای سرقت داده های خود.

لجر همچنین در ماه مه 2023 هنگامی که اعلام کرد ، به دلیل سیاست های ایمنی خود با انتقاد روبرو شد قابلیت بازیابی کلیدهای خصوصی، که به مشتریان این امکان را می داد تا کلیدهای کیف پول لجر خود را بازیابی کنند اگر به عنوان مثال آنها را از دست بدهند.

در یک مصاحبه ویدیویی با Unchained، Ido Ben-Natan و Raz Niz، بنیانگذاران ارائه دهنده ابزارهای امنیتی رمزنگاری Blockaid، گفتند که حملات تخلیه کیف پول در فضای کریپتو رایج است.

نیز گفت: «ویژگی منحصر به فرد این حمله عمدتاً مربوط به گستردگی آن بود، زیرا مهاجم در اینجا توانسته بود باعث شود که حمله زنجیره تأمین که بر بسیاری از سایت‌های مختلف در اکوسیستم تأثیر گذاشته بود، کاربران خود را تخلیه کند.»

بروزرسانی (14 دسامبر 2023 ، 13:50 EST): نظرات بنیانگذاران Blockaid را اضافه می کند.

به روز رسانی (14 دسامبر 2023، ساعت 12:49 بعد از ظهر به وقت شرقی): جزئیات مقدار برداشت شده از کیف پول را اضافه می کند.