โดย: Lisa & Shan @ Slow Mist Security Team

ตามข้อมูลข่าวกรองจากทีมรักษาความปลอดภัย SlowMist ในตอนเย็นของวันที่ 14 ธันวาคม 2023 ตามเวลาปักกิ่ง Ledger Connect Kit ประสบกับการโจมตีในห่วงโซ่อุปทาน และผู้โจมตีทำกำไรได้อย่างน้อย 600,000 เหรียญสหรัฐ

ทีมรักษาความปลอดภัย SlowMist เข้าแทรกแซงการวิเคราะห์ทันทีและออกคำเตือนล่วงหน้า:

ตามข้อมูลข่าวกรองจากทีมรักษาความปลอดภัย SlowMist ในตอนเย็นของวันที่ 14 ธันวาคม 2023 ตามเวลาปักกิ่ง Ledger Connect Kit ประสบกับการโจมตีในห่วงโซ่อุปทาน และผู้โจมตีทำกำไรได้อย่างน้อย 600,000 เหรียญสหรัฐ

ทีมรักษาความปลอดภัย SlowMist เข้าแทรกแซงการวิเคราะห์ทันทีและออกคำเตือนล่วงหน้า:

ขณะนี้เหตุการณ์ดังกล่าวได้รับการแก้ไขอย่างเป็นทางการแล้ว และขณะนี้ทีมรักษาความปลอดภัย SlowMist ได้แชร์ข้อมูลเหตุฉุกเฉินดังนี้

เส้นเวลา

เมื่อเวลา 19:43 น. ผู้ใช้ Twitter @g4sarah ระบุว่าส่วนหน้าของโปรโตคอลการจัดการสินทรัพย์ DeFi Zapper ถูกสงสัยว่าถูกแย่งชิง

เมื่อเวลา 20:30 น. Matthew Lilley ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Sushi ออกคำเตือนบน Twitter: "ขอให้ผู้ใช้อย่าโต้ตอบกับ dApp ใด ๆ จนกว่าจะมีประกาศเพิ่มเติม ตัวเชื่อมต่อ Web3 ที่ใช้กันทั่วไป (ไลบรารี JavaScript ซึ่งเป็นส่วนหนึ่งของโครงการ web3-react) สงสัยว่าถูกบุกรุก ทำให้สามารถฉีดโค้ดที่เป็นอันตรายซึ่งส่งผลกระทบต่อ dApps จำนวนมากได้" ต่อมาระบุว่า Ledger อาจมีโค้ดที่น่าสงสัย ทีมรักษาความปลอดภัย SlowMist ระบุทันทีว่ากำลังติดตามและวิเคราะห์เหตุการณ์นี้

เมื่อเวลา 20:56 น. Revoid.cash ทวีตว่า: "แอปพลิเคชันการเข้ารหัสทั่วไปหลายตัวที่รวมเข้ากับไลบรารี Ledger Connect Kit รวมถึง Revoid.cash ถูกโจมตี เราได้ปิดไซต์ชั่วคราว เราขอแนะนำให้แก้ไขช่องโหว่ อย่าใช้งานใด ๆ เว็บไซต์ที่เข้ารหัสในช่วงระยะเวลาการหาผลประโยชน์" ต่อมาโครงการ Cross-chain DEX Kyber Network ยังระบุด้วยว่าได้ปิดใช้งาน UI ส่วนหน้าจนกว่าสถานการณ์จะชัดเจน

เมื่อเวลา 21:31 น. Ledger ยังได้ออกคำเตือน: "เราได้ระบุและลบเวอร์ชันที่เป็นอันตรายของ Ledger Connect Kit แล้ว ขณะนี้เรากำลังผลักดันเวอร์ชันของแท้เพื่อแทนที่ไฟล์ที่เป็นอันตราย ห้ามโต้ตอบกับ dApps ใด ๆ ในขณะนี้ หากมีสถานการณ์ใหม่ เราจะแจ้งให้คุณทราบ อุปกรณ์ Ledger และ Ledger Live ของคุณไม่ถูกบุกรุก"

เมื่อเวลา 21:32 น. MetaMask ยังได้ออกคำเตือน: "ก่อนที่ผู้ใช้จะทำธุรกรรมใดๆ บน MetaMask Portfolio โปรดตรวจสอบให้แน่ใจว่าได้เปิดใช้งานฟังก์ชัน Blockaid ในส่วนขยาย MetaMask แล้ว"

ผลกระทบจากการโจมตี

ทีมรักษาความปลอดภัย SlowMist เริ่มวิเคราะห์โค้ดที่เกี่ยวข้องทันที เราพบว่าผู้โจมตีฝังโค้ด JS ที่เป็นอันตรายในเวอร์ชัน @ledgerhq/connect-kit =1.1.5/1.1.6/1.1.7 และแทนที่โค้ดปกติโดยตรงด้วยคลาส Drainer ตรรกะของหน้าต่างจะไม่เพียงแสดงหน้าต่างป๊อปอัป DrainerPopup ปลอมเท่านั้น แต่ยังจัดการตรรกะการถ่ายโอนของเนื้อหาต่างๆ การโจมตีแบบฟิชชิ่งกับผู้ใช้สกุลเงินดิจิตอลผ่านการกระจาย CDN

ช่วงเวอร์ชันที่ได้รับผลกระทบ:

@ledgerhq/connect-kit 1.1.5 (ผู้โจมตีกล่าวถึง Inferno ในโค้ด น่าจะเป็นการแสดงความเคารพต่อ Inferno Drainer ซึ่งเป็นกลุ่มฟิชชิ่งที่เชี่ยวชาญในการฉ้อโกงแบบหลายสายโซ่)

@ledgerhq/connect-kit 1.1.6 (ผู้โจมตีทิ้งข้อความไว้ในโค้ดและฝังโค้ด JS ที่เป็นอันตราย)

@ledgerhq/connect-kit 1.1.7 (ผู้โจมตีทิ้งข้อความไว้ในโค้ดและฝังโค้ด JS ที่เป็นอันตราย)

Ledger ระบุว่ากระเป๋าเงิน Ledger เองไม่ได้รับผลกระทบ แต่แอปพลิเคชันที่รวมไลบรารี Ledger Connect Kit จะได้รับผลกระทบ

อย่างไรก็ตาม แอปพลิเคชันจำนวนมากใช้ Ledger Connect Kit (เช่น SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoid.cash เป็นต้น) และผลกระทบก็จะยิ่งใหญ่กว่าเท่านั้น

อย่างไรก็ตาม แอปพลิเคชันจำนวนมากใช้ Ledger Connect Kit (เช่น SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoid.cash เป็นต้น) และผลกระทบก็จะยิ่งใหญ่กว่าเท่านั้น

ด้วยการโจมตีนี้ ผู้โจมตีสามารถรันโค้ดโดยอำเภอใจด้วยระดับสิทธิ์เดียวกันกับแอปพลิเคชัน ตัวอย่างเช่น ผู้โจมตีสามารถระบายเงินทุนทั้งหมดของผู้ใช้ได้ทันทีโดยไม่ต้องโต้ตอบ เผยแพร่ลิงก์ฟิชชิ่งจำนวนมากเพื่อหลอกล่อผู้ใช้ และแม้กระทั่งใช้ประโยชน์จากความตื่นตระหนกของผู้ใช้ ผู้ใช้พยายามโอนสินทรัพย์ไปยังที่อยู่ใหม่ แต่ ดาวน์โหลดกระเป๋าเงินปลอม ส่งผลให้ทรัพย์สินสูญหาย

การวิเคราะห์ทางเทคนิคและยุทธวิธี

เราได้วิเคราะห์ผลกระทบของการโจมตีข้างต้น และคาดการณ์ตามประสบการณ์ฉุกเฉินในอดีตว่านี่อาจเป็นการโจมตีแบบฟิชชิ่งทางวิศวกรรมสังคมที่ไตร่ตรองไว้ล่วงหน้า

ตามทวีตจาก @0xSentry หนึ่งในร่องรอยดิจิทัลที่ผู้โจมตีทิ้งไว้เกี่ยวข้องกับบัญชี Gmail ของ @JunichiSugiura (Jun ซึ่งเป็นอดีตพนักงาน Ledger) ซึ่งอาจถูกบุกรุกและ Ledger ลืมที่จะลบการเข้าถึงของพนักงาน

เมื่อเวลา 23:09 น. เจ้าหน้าที่ยืนยันการคาดเดานี้ - อดีตพนักงาน Ledger ตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่ง:

1) ผู้โจมตีสามารถเข้าถึงบัญชี NPMJS ของพนักงานได้

2) ผู้โจมตีปล่อย Ledger Connect Kit เวอร์ชันที่เป็นอันตราย (1.1.5, 1.1.6 และ 1.1.7)

3) ผู้โจมตีใช้ WalletConnect ที่เป็นอันตรายเพื่อโอนเงินไปยังที่อยู่กระเป๋าเงินของแฮ็กเกอร์ผ่านโค้ดที่เป็นอันตราย

ปัจจุบัน Ledger ได้เปิดตัว Ledger Connect Kit เวอร์ชัน 1.1.8 ของแท้และผ่านการตรวจสอบแล้ว โปรดอัปเกรดให้ทันเวลา

แม้ว่า Ledger npmjs เวอร์ชันที่วางยาพิษจะถูกลบไปแล้ว แต่ยังคงมีไฟล์ js ที่วางยาพิษบน jsDelivr:

https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1.1.7

https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1.1.6

โปรดทราบว่าอาจมีความล่าช้าเนื่องจากปัจจัย CDN คำแนะนำอย่างเป็นทางการคือรอ 24 ชั่วโมงก่อนใช้ Ledger Connect Kit

ขอแนะนำว่าเมื่อฝ่ายโครงการเผยแพร่แหล่งมิเรอร์ที่อาศัย CDN ของบริษัทอื่น พวกเขาต้องอย่าลืมล็อคเวอร์ชันที่เกี่ยวข้องเพื่อป้องกันอันตรายที่เกิดจากการเผยแพร่ที่เป็นอันตรายและการอัปเดตที่ตามมา (คำแนะนำจาก @galenyuan)

ขณะนี้ทางการได้ยอมรับข้อเสนอแนะที่เกี่ยวข้องแล้วและผมเชื่อว่ากลยุทธ์จะมีการเปลี่ยนแปลงต่อไป:

เส้นเวลาสุดท้ายอย่างเป็นทางการของ Ledger:

การวิเคราะห์ MistTrack

ลูกค้าเดรนเนอร์: 0x658729879fca881d9526480b82ae00efc54b5c2d

ที่อยู่ค่าธรรมเนียมท่อระบายน้ำ: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

จากการวิเคราะห์ของ MistTrack ผู้โจมตี (0x658) ทำเงินได้อย่างน้อย 600,000 เหรียญสหรัฐ และมีความเกี่ยวข้องกับกลุ่มฟิชชิ่ง Angel Drainer

วิธีการโจมตีหลักของแก๊ง Angel Drainer คือการโจมตีทางวิศวกรรมสังคมกับผู้ให้บริการชื่อโดเมนและพนักงาน หากคุณสนใจ สามารถคลิกเพื่ออ่าน Dark "Angel" - การเปิดเผยแก๊งฟิชชิ่ง Angel Drainer

ปัจจุบัน Angel Drainer(0x412) ถือครองสินทรัพย์เกือบ 363,000 ดอลลาร์

จากข้อมูลของ SlowMist Threat Intelligence Network พบว่ามีการค้นพบต่อไปนี้:

1) ไอพี 168.*.*.46, 185.*.*.167

2) ผู้โจมตีได้แลกเปลี่ยน ETH บางส่วนเป็น XMR

เมื่อเวลา 23:09 น. Tether ได้ระงับที่อยู่ของผู้แสวงหาประโยชน์จาก Ledger นอกจากนี้ MistTrack ได้บล็อกที่อยู่ที่เกี่ยวข้องและจะติดตามการเปลี่ยนแปลงกองทุนต่อไป

สรุป

เหตุการณ์นี้พิสูจน์ให้เห็นอีกครั้งว่าการรักษาความปลอดภัยของ DeFi ไม่ใช่แค่การรักษาสัญญาเท่านั้น แต่ยังเป็นการรักษาความปลอดภัยโดยรวมอีกด้วย

ในด้านหนึ่ง เหตุการณ์นี้แสดงให้เห็นว่าการละเมิดความปลอดภัยของห่วงโซ่อุปทานสามารถนำไปสู่ผลลัพธ์ที่ร้ายแรงได้ มัลแวร์และโค้ดที่เป็นอันตรายสามารถฝังอยู่ในส่วนต่างๆ ของห่วงโซ่อุปทานซอฟต์แวร์ รวมถึงเครื่องมือการพัฒนา ไลบรารีของบุคคลที่สาม บริการคลาวด์ และกระบวนการอัปเดต เมื่อองค์ประกอบที่เป็นอันตรายเหล่านี้ถูกแทรกเข้าไปได้สำเร็จ ผู้โจมตีจะสามารถใช้เพื่อขโมยทรัพย์สินสกุลเงินดิจิทัลและข้อมูลผู้ใช้ที่ละเอียดอ่อน ขัดขวางการทำงานของระบบ แบล็กเมล์องค์กร หรือแพร่กระจายมัลแวร์ในวงกว้าง

ในทางกลับกัน ผู้โจมตีสามารถรับข้อมูลระบุตัวตนส่วนบุคคล ข้อมูลบัญชี รหัสผ่าน และข้อมูลที่ละเอียดอ่อนอื่น ๆ ของผู้ใช้ผ่านการโจมตีทางวิศวกรรมสังคม ผู้โจมตียังสามารถใช้อีเมลหลอกลวง ข้อความ หรือโทรศัพท์เพื่อหลอกล่อผู้ใช้ให้คลิกลิงก์ที่เป็นอันตราย หรือดาวน์โหลด ไฟล์ที่เป็นอันตราย ผู้ใช้ควรใช้รหัสผ่านที่รัดกุมซึ่งประกอบด้วยตัวอักษร ตัวเลข และสัญลักษณ์ผสมกัน และเปลี่ยนรหัสผ่านเป็นประจำเพื่อลดโอกาสที่ผู้โจมตีจะเดาหรือใช้เทคนิควิศวกรรมสังคมเพื่อรับรหัสผ่าน ในเวลาเดียวกัน มีการใช้การรับรองความถูกต้องแบบหลายปัจจัยเพื่อเพิ่มความปลอดภัยของบัญชีโดยใช้ปัจจัยการรับรองความถูกต้องเพิ่มเติม (เช่น รหัสยืนยัน SMS การจดจำลายนิ้วมือ ฯลฯ ) และปรับปรุงความสามารถในการป้องกันการโจมตีประเภทนี้

"ข้อกำหนดแนวทางปฏิบัติด้านความปลอดภัยของโครงการ Web3" และ "คำแนะนำด้านความปลอดภัยของห่วงโซ่อุปทานอุตสาหกรรม Web3" ที่เผยแพร่โดยทีมรักษาความปลอดภัย SlowMist ได้รับการออกแบบมาเพื่อแนะนำและเตือนฝ่ายต่างๆ ของโครงการ Web3 ให้ใส่ใจกับมาตรการรักษาความปลอดภัยรอบด้าน ระบบตรวจสอบความปลอดภัยของ MistEye ใช้งานโดยทีมรักษาความปลอดภัย SlowMist ครอบคลุมข้อมูลรอบด้าน เช่น การตรวจสอบสัญญา การตรวจสอบส่วนหน้าและส่วนหลัง การค้นพบช่องโหว่และการเตือนล่วงหน้า ฯลฯ โดยมุ่งเน้นไปที่การรักษาความปลอดภัยของกระบวนการทั้งหมดของโครงการ DeFi ก่อน ระหว่าง และหลังงาน ฝ่ายโครงการสามารถใช้ระบบตรวจสอบความปลอดภัยของ MistEye เพื่อควบคุมความเสี่ยงและปรับปรุงความปลอดภัยของโครงการ