驚魂一夜 Ledger Connect Kit安全事件分析

2023年12月14日，據 Beosin EagleEye 安全態勢感知平臺消息，大量去中心化應用由於使用 Ledger 被惡意植入的庫導致用戶資產被盜，黑客獲利超60萬美元。Beosin 安全團隊第一時間對事件進行了分析，結果如下。

connect-kit簡介

connect-kit是Ledger的一個Javascript庫，允許用戶將其 Ledger 設備連接到第三方 DApp。庫鏈接地址: https://www.npmjs.com/package/@ledgerhq/connect-kit

漏洞分析

該事件發生的原因是因為一名前 Ledger 員工被網絡釣魚攻擊，而Ledger並未取消該員工的代碼訪問權限，攻擊者從而獲得了其 NPMJS 帳戶的訪問權限。隨後，攻擊者發布了 Ledger Connect Kit 的惡意版本（受影響版本為 1.1.5、1.1.6 和 1.1.7）。

攻擊流程

早在4個月前，攻擊者便發布了 Ledger Connect Kit 1.1.5 惡意版本，並在兩個月前先後發布了 Ledger Connect Kit 1.1.6 和 Ledger Connect Kit 1.1.7 兩個惡意版本，通過CDN分發，利用惡意代碼將用戶的資金轉移到指定的黑客錢包地址。

資金追蹤

目前黑客的資金地址（0x658729879fca881d9526480b82ae00efc54b5c2d）已被 EagleEye 標記為 Ledger Exploiter，用戶可以在 EagleEye 網站上對其進行實時監控：

鏈接：https://eagleeye.space/address/0x658729879fca881d9526480b82ae00efc54b5c2d

此次攻擊涉及多條公鏈，黑客轉移了衆多用戶在Ethereum、BNB Chain、Arbitrum、Base、Fantom等網絡的資產，獲利超60萬美元。

根據Beosin trace查詢顯示，截止發文時，以太坊上的被盜資金部分被發到了 Fake_Phishing268838 釣魚地址：

0x1b9f9964a073401a8bc24f64491516970bb84e47

其余還保存在攻擊者地址中（由於代幣種類過多，以下圖片僅展示部分信息）

KYT反洗錢分析平臺

BSC鏈上被盜資金目前全部保存在攻擊者地址中：

本次事件涉及大量公鏈上的用戶被盜，這裏僅展示以太坊和BSC上的被盜情況

安全建議

本次事件再次反映了供應鏈安全的重要性。在Web3安全中，供應鏈安全經常被开發者和安全團隊忽視，而 黑客可以通過軟件供應鏈的各個環節植入惡意代碼，竊取用戶信息和數字資產，進行大規模的攻擊 。

Beosin 對防範此類安全事件的建議如下：

1.  在選擇和使用第三方軟件或組件時，需進行 安全審查和驗證 。了解第三方的安全標准和實踐，確保軟件沒有被篡改或植入惡意代碼。

2. 採用安全的开發實踐 ，如使用安全編碼標准、代碼審查、漏洞掃描和安全測試等，確保軟件在开發過程中始終處於安全狀態。

3. 及時應用軟件供應商發布的安全更新和補丁 ，以修復已知的漏洞和缺陷。保持軟件處於最新版本，減少被攻擊的風險。

4. 採用多層次的安全防御策略 ，包括網絡安全、終端安全和數據安全等。使用入侵檢測系統、終端安全軟件和數據加密等措施，提高整個軟件供應鏈的安全性。

5. 建立監測和響應機制 ，及時檢測異常活動和潛在的供應鏈攻擊，並採取相應的應對措施，如隔離受感染的代碼庫、及時修復漏洞和恢復數據等。

6. 提供員工培訓和意識提升 ，使其能夠識別社會工程學攻擊與供應鏈攻擊，並採取適當的防範措施，如警惕釣魚郵件、不隨意下載附件等。开發團隊的員工權限需要及時更新，交接代碼權限需做到透明清晰。

Beosin 作為一家全球領先的區塊鏈安全公司，在全球10多個國家和地區設立了分部，業務涵蓋項目上线前的代碼安全審計、項目運行時的安全風險監控、預警與阻斷、虛擬貨幣被盜資產追回、安全合規KYT/AML等“一站式”區塊鏈安全產品+服務，公司致力於Web3生態的安全發展，已為全球3000多個企業提供區塊鏈安全技術服務，包括HashKey Group、Amber Group、BNB Chain等，已審計智能合約和公鏈主網超3000份，包括PancakeSwap、Ronin Network、OKCSwap等。