驚魂一夜 Ledger Connect Kit安全事件分析

2023-12-15 20:12:10

2023年12月14日,據 Beosin EagleEye 安全態勢感知平臺消息,大量去中心化應用由於使用 Ledger 被惡意植入的庫導致用戶資產被盜,黑客獲利超60萬美元。Beosin 安全團隊第一時間對事件進行了分析,結果如下。

connect-kit簡介

connect-kit是Ledger的一個Javascript庫,允許用戶將其 Ledger 設備連接到第三方 DApp。庫鏈接地址: https://www.npmjs.com/package/@ledgerhq/connect-kit

漏洞分析

該事件發生的原因是因為一名前 Ledger 員工被網絡釣魚攻擊,而Ledger並未取消該員工的代碼訪問權限,攻擊者從而獲得了其 NPMJS 帳戶的訪問權限。隨後,攻擊者發布了 Ledger Connect Kit 的惡意版本(受影響版本為 1.1.5、1.1.6 和 1.1.7)。

攻擊流程

早在4個月前,攻擊者便發布了 Ledger Connect Kit 1.1.5 惡意版本,並在兩個月前先後發布了 Ledger Connect Kit 1.1.6 和 Ledger Connect Kit 1.1.7 兩個惡意版本,通過CDN分發,利用惡意代碼將用戶的資金轉移到指定的黑客錢包地址。

資金追蹤

目前黑客的資金地址(0x658729879fca881d9526480b82ae00efc54b5c2d)已被 EagleEye 標記為 Ledger Exploiter,用戶可以在 EagleEye 網站上對其進行實時監控:

鏈接:https://eagleeye.space/address/0x658729879fca881d9526480b82ae00efc54b5c2d

此次攻擊涉及多條公鏈,黑客轉移了衆多用戶在Ethereum、BNB Chain、Arbitrum、Base、Fantom等網絡的資產,獲利超60萬美元。

根據Beosin trace查詢顯示,截止發文時,以太坊上的被盜資金部分被發到了 Fake_Phishing268838 釣魚地址:

0x1b9f9964a073401a8bc24f64491516970bb84e47

其余還保存在攻擊者地址中(由於代幣種類過多,以下圖片僅展示部分信息)

KYT反洗錢分析平臺

BSC鏈上被盜資金目前全部保存在攻擊者地址中:

本次事件涉及大量公鏈上的用戶被盜,這裏僅展示以太坊和BSC上的被盜情況

安全建議

本次事件再次反映了供應鏈安全的重要性。在Web3安全中,供應鏈安全經常被开發者和安全團隊忽視,而 黑客可以通過軟件供應鏈的各個環節植入惡意代碼,竊取用戶信息和數字資產,進行大規模的攻擊

Beosin 對防範此類安全事件的建議如下:

1.  在選擇和使用第三方軟件或組件時,需進行 安全審查和驗證 。了解第三方的安全標准和實踐,確保軟件沒有被篡改或植入惡意代碼。

2. 採用安全的开發實踐 ,如使用安全編碼標准、代碼審查、漏洞掃描和安全測試等,確保軟件在开發過程中始終處於安全狀態。

3. 及時應用軟件供應商發布的安全更新和補丁 ,以修復已知的漏洞和缺陷。保持軟件處於最新版本,減少被攻擊的風險。

4. 採用多層次的安全防御策略 ,包括網絡安全、終端安全和數據安全等。使用入侵檢測系統、終端安全軟件和數據加密等措施,提高整個軟件供應鏈的安全性。

5. 建立監測和響應機制 ,及時檢測異常活動和潛在的供應鏈攻擊,並採取相應的應對措施,如隔離受感染的代碼庫、及時修復漏洞和恢復數據等。

6. 提供員工培訓和意識提升 ,使其能夠識別社會工程學攻擊與供應鏈攻擊,並採取適當的防範措施,如警惕釣魚郵件、不隨意下載附件等。开發團隊的員工權限需要及時更新,交接代碼權限需做到透明清晰。

Beosin 作為一家全球領先的區塊鏈安全公司,在全球10多個國家和地區設立了分部,業務涵蓋項目上线前的代碼安全審計、項目運行時的安全風險監控、預警與阻斷、虛擬貨幣被盜資產追回、安全合規KYT/AML等“一站式”區塊鏈安全產品+服務,公司致力於Web3生態的安全發展,已為全球3000多個企業提供區塊鏈安全技術服務,包括HashKey Group、Amber Group、BNB Chain等,已審計智能合約和公鏈主網超3000份,包括PancakeSwap、Ronin Network、OKCSwap等。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

Uniswap公告Unichain主網明年初上線!首測路線圖兩功能,UNI強彈17%

去 中心化交易所(DEX)龍頭 Uniswap 於 10 月宣佈推出專為 DeFi 設計的 Lay...

DaFi Weaver
7 17小時前

下周必關注|LayerZero決定是否开啓“費用开關”;Aligned空投注冊結束(12.23-12.29)

下周重點預告 12 月 23 日 Aligned 將向 891322 個地址空投 26% 的 AL...

星球日報
8 17小時前

一周代幣解鎖:下周無高比例或金額重大的代幣解鎖

下周,共有 8 個項目解鎖,其中沒有重大解鎖,MOCA 解鎖流通量的 2.9% 。 Metars...

星球日報
7 17小時前

空投周報 | OpenSea基金會官推上线;Azuki、Doodles疑似即將發幣(12.16-12.22)

@OdailyChina @web3_golem Odaily星球日報盤點了 12 月 16 日至...

星球日報
8 17小時前

區塊鏈的達摩克裏斯之劍:一文讀懂谷歌新量子芯片對區塊鏈的影響

前言:谷歌推出了量子芯片 Willow 可以在 5 分鐘之內便完成了當今最快的超級計算機都需要 1...

星球日報
7 17小時前

資金費率的演變:從2021年黃金時代,到2024-2025年套利復興

資金費率起源 資金費率起源於加密貨幣衍生品市場,特別是從永續期貨合約中發展而來。它作為一種機制,用...

Block Beats
8 1天前