ความลึกลับของ Ledger Connect Kit ที่ถูกแฮ็ก

โดย: Lisa & Shan @ Slow Mist Security Team

ตามข้อมูลข่าวกรองจากทีมรักษาความปลอดภัย SlowMist ในตอนเย็นของวันที่ 14 ธันวาคม 2023 ตามเวลาปักกิ่ง Ledger Connect Kit ประสบกับการโจมตีในห่วงโซ่อุปทาน และผู้โจมตีทำกำไรได้อย่างน้อย 600,000 เหรียญสหรัฐ

ทีมรักษาความปลอดภัย SlowMist เข้าแทรกแซงการวิเคราะห์ทันทีและออกคำเตือนล่วงหน้า:

ขณะนี้เหตุการณ์ดังกล่าวได้รับการแก้ไขอย่างเป็นทางการแล้ว และขณะนี้ทีมรักษาความปลอดภัย SlowMist ได้แชร์ข้อมูลเหตุฉุกเฉินดังนี้

เส้นเวลา

เมื่อเวลา 19:43 น. ผู้ใช้ Twitter @g4sarah ระบุว่าส่วนหน้าของโปรโตคอลการจัดการสินทรัพย์ DeFi Zapper ถูกสงสัยว่าถูกแย่งชิง

เมื่อเวลา 20:30 น. Matthew Lilley ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Sushi ออกคำเตือนบน Twitter: "ขอให้ผู้ใช้อย่าโต้ตอบกับ dApp ใด ๆ จนกว่าจะมีประกาศเพิ่มเติม ตัวเชื่อมต่อ Web3 ที่ใช้กันทั่วไป (ไลบรารี JavaScript ซึ่งเป็นส่วนหนึ่งของโครงการ web3-react) สงสัยว่าถูกบุกรุก ทำให้สามารถฉีดโค้ดที่เป็นอันตรายซึ่งส่งผลกระทบต่อ dApps จำนวนมากได้" ต่อมาระบุว่า Ledger อาจมีโค้ดที่น่าสงสัย ทีมรักษาความปลอดภัย SlowMist ระบุทันทีว่ากำลังติดตามและวิเคราะห์เหตุการณ์นี้

เมื่อเวลา 20:56 น. Revoid.cash ทวีตว่า: "แอปพลิเคชันการเข้ารหัสทั่วไปหลายตัวที่รวมเข้ากับไลบรารี Ledger Connect Kit รวมถึง Revoid.cash ถูกโจมตี เราได้ปิดไซต์ชั่วคราว เราขอแนะนำให้แก้ไขช่องโหว่ อย่าใช้งานใด ๆ เว็บไซต์ที่เข้ารหัสในช่วงระยะเวลาการหาผลประโยชน์" ต่อมาโครงการ Cross-chain DEX Kyber Network ยังระบุด้วยว่าได้ปิดใช้งาน UI ส่วนหน้าจนกว่าสถานการณ์จะชัดเจน

เมื่อเวลา 21:31 น. Ledger ยังได้ออกคำเตือน: "เราได้ระบุและลบเวอร์ชันที่เป็นอันตรายของ Ledger Connect Kit แล้ว ขณะนี้เรากำลังผลักดันเวอร์ชันของแท้เพื่อแทนที่ไฟล์ที่เป็นอันตราย ห้ามโต้ตอบกับ dApps ใด ๆ ในขณะนี้ หากมีสถานการณ์ใหม่ เราจะแจ้งให้คุณทราบ อุปกรณ์ Ledger และ Ledger Live ของคุณไม่ถูกบุกรุก"

เมื่อเวลา 21:32 น. MetaMask ยังได้ออกคำเตือน: "ก่อนที่ผู้ใช้จะทำธุรกรรมใดๆ บน MetaMask Portfolio โปรดตรวจสอบให้แน่ใจว่าได้เปิดใช้งานฟังก์ชัน Blockaid ในส่วนขยาย MetaMask แล้ว"

ผลกระทบจากการโจมตี

ทีมรักษาความปลอดภัย SlowMist เริ่มวิเคราะห์โค้ดที่เกี่ยวข้องทันที เราพบว่าผู้โจมตีฝังโค้ด JS ที่เป็นอันตรายในเวอร์ชัน @ledgerhq/connect-kit =1.1.5/1.1.6/1.1.7 และแทนที่โค้ดปกติโดยตรงด้วยคลาส Drainer ตรรกะของหน้าต่างจะไม่เพียงแสดงหน้าต่างป๊อปอัป DrainerPopup ปลอมเท่านั้น แต่ยังจัดการตรรกะการถ่ายโอนของเนื้อหาต่างๆ การโจมตีแบบฟิชชิ่งกับผู้ใช้สกุลเงินดิจิตอลผ่านการกระจาย CDN

ช่วงเวอร์ชันที่ได้รับผลกระทบ:

@ledgerhq/connect-kit 1.1.5 (ผู้โจมตีกล่าวถึง Inferno ในโค้ด น่าจะเป็นการแสดงความเคารพต่อ Inferno Drainer ซึ่งเป็นกลุ่มฟิชชิ่งที่เชี่ยวชาญในการฉ้อโกงแบบหลายสายโซ่)

@ledgerhq/connect-kit 1.1.6 (ผู้โจมตีทิ้งข้อความไว้ในโค้ดและฝังโค้ด JS ที่เป็นอันตราย)

@ledgerhq/connect-kit 1.1.7 (ผู้โจมตีทิ้งข้อความไว้ในโค้ดและฝังโค้ด JS ที่เป็นอันตราย)

Ledger ระบุว่ากระเป๋าเงิน Ledger เองไม่ได้รับผลกระทบ แต่แอปพลิเคชันที่รวมไลบรารี Ledger Connect Kit จะได้รับผลกระทบ

อย่างไรก็ตาม แอปพลิเคชันจำนวนมากใช้ Ledger Connect Kit (เช่น SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoid.cash เป็นต้น) และผลกระทบก็จะยิ่งใหญ่กว่าเท่านั้น

ด้วยการโจมตีนี้ ผู้โจมตีสามารถรันโค้ดโดยอำเภอใจด้วยระดับสิทธิ์เดียวกันกับแอปพลิเคชัน ตัวอย่างเช่น ผู้โจมตีสามารถระบายเงินทุนทั้งหมดของผู้ใช้ได้ทันทีโดยไม่ต้องโต้ตอบ เผยแพร่ลิงก์ฟิชชิ่งจำนวนมากเพื่อหลอกล่อผู้ใช้ และแม้กระทั่งใช้ประโยชน์จากความตื่นตระหนกของผู้ใช้ ผู้ใช้พยายามโอนสินทรัพย์ไปยังที่อยู่ใหม่ แต่ ดาวน์โหลดกระเป๋าเงินปลอม ส่งผลให้ทรัพย์สินสูญหาย

การวิเคราะห์ทางเทคนิคและยุทธวิธี

เราได้วิเคราะห์ผลกระทบของการโจมตีข้างต้น และคาดการณ์ตามประสบการณ์ฉุกเฉินในอดีตว่านี่อาจเป็นการโจมตีแบบฟิชชิ่งทางวิศวกรรมสังคมที่ไตร่ตรองไว้ล่วงหน้า

ตามทวีตจาก @0xSentry หนึ่งในร่องรอยดิจิทัลที่ผู้โจมตีทิ้งไว้เกี่ยวข้องกับบัญชี Gmail ของ @JunichiSugiura (Jun ซึ่งเป็นอดีตพนักงาน Ledger) ซึ่งอาจถูกบุกรุกและ Ledger ลืมที่จะลบการเข้าถึงของพนักงาน

เมื่อเวลา 23:09 น. เจ้าหน้าที่ยืนยันการคาดเดานี้ - อดีตพนักงาน Ledger ตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่ง:

1) ผู้โจมตีสามารถเข้าถึงบัญชี NPMJS ของพนักงานได้

2) ผู้โจมตีปล่อย Ledger Connect Kit เวอร์ชันที่เป็นอันตราย (1.1.5, 1.1.6 และ 1.1.7)

3) ผู้โจมตีใช้ WalletConnect ที่เป็นอันตรายเพื่อโอนเงินไปยังที่อยู่กระเป๋าเงินของแฮ็กเกอร์ผ่านโค้ดที่เป็นอันตราย

ปัจจุบัน Ledger ได้เปิดตัว Ledger Connect Kit เวอร์ชัน 1.1.8 ของแท้และผ่านการตรวจสอบแล้ว โปรดอัปเกรดให้ทันเวลา

แม้ว่า Ledger npmjs เวอร์ชันที่วางยาพิษจะถูกลบไปแล้ว แต่ยังคงมีไฟล์ js ที่วางยาพิษบน jsDelivr:

https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

โปรดทราบว่าอาจมีความล่าช้าเนื่องจากปัจจัย CDN คำแนะนำอย่างเป็นทางการคือรอ 24 ชั่วโมงก่อนใช้ Ledger Connect Kit

ขอแนะนำว่าเมื่อฝ่ายโครงการเผยแพร่แหล่งมิเรอร์ที่อาศัย CDN ของบริษัทอื่น พวกเขาต้องอย่าลืมล็อคเวอร์ชันที่เกี่ยวข้องเพื่อป้องกันอันตรายที่เกิดจากการเผยแพร่ที่เป็นอันตรายและการอัปเดตที่ตามมา (คำแนะนำจาก @galenyuan)

ขณะนี้ทางการได้ยอมรับข้อเสนอแนะที่เกี่ยวข้องแล้วและผมเชื่อว่ากลยุทธ์จะมีการเปลี่ยนแปลงต่อไป:

เส้นเวลาสุดท้ายอย่างเป็นทางการของ Ledger:

การวิเคราะห์ MistTrack

ลูกค้าเดรนเนอร์: 0x658729879fca881d9526480b82ae00efc54b5c2d

ที่อยู่ค่าธรรมเนียมท่อระบายน้ำ: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

จากการวิเคราะห์ของ MistTrack ผู้โจมตี (0x658) ทำเงินได้อย่างน้อย 600,000 เหรียญสหรัฐ และมีความเกี่ยวข้องกับกลุ่มฟิชชิ่ง Angel Drainer

วิธีการโจมตีหลักของแก๊ง Angel Drainer คือการโจมตีทางวิศวกรรมสังคมกับผู้ให้บริการชื่อโดเมนและพนักงาน หากคุณสนใจ สามารถคลิกเพื่ออ่าน Dark "Angel" - การเปิดเผยแก๊งฟิชชิ่ง Angel Drainer

ปัจจุบัน Angel Drainer(0x412) ถือครองสินทรัพย์เกือบ 363,000 ดอลลาร์

จากข้อมูลของ SlowMist Threat Intelligence Network พบว่ามีการค้นพบต่อไปนี้:

1) ไอพี 168.*.*.46, 185.*.*.167

2) ผู้โจมตีได้แลกเปลี่ยน ETH บางส่วนเป็น XMR

เมื่อเวลา 23:09 น. Tether ได้ระงับที่อยู่ของผู้แสวงหาประโยชน์จาก Ledger นอกจากนี้ MistTrack ได้บล็อกที่อยู่ที่เกี่ยวข้องและจะติดตามการเปลี่ยนแปลงกองทุนต่อไป

สรุป

เหตุการณ์นี้พิสูจน์ให้เห็นอีกครั้งว่าการรักษาความปลอดภัยของ DeFi ไม่ใช่แค่การรักษาสัญญาเท่านั้น แต่ยังเป็นการรักษาความปลอดภัยโดยรวมอีกด้วย

ในด้านหนึ่ง เหตุการณ์นี้แสดงให้เห็นว่าการละเมิดความปลอดภัยของห่วงโซ่อุปทานสามารถนำไปสู่ผลลัพธ์ที่ร้ายแรงได้ มัลแวร์และโค้ดที่เป็นอันตรายสามารถฝังอยู่ในส่วนต่างๆ ของห่วงโซ่อุปทานซอฟต์แวร์ รวมถึงเครื่องมือการพัฒนา ไลบรารีของบุคคลที่สาม บริการคลาวด์ และกระบวนการอัปเดต เมื่อองค์ประกอบที่เป็นอันตรายเหล่านี้ถูกแทรกเข้าไปได้สำเร็จ ผู้โจมตีจะสามารถใช้เพื่อขโมยทรัพย์สินสกุลเงินดิจิทัลและข้อมูลผู้ใช้ที่ละเอียดอ่อน ขัดขวางการทำงานของระบบ แบล็กเมล์องค์กร หรือแพร่กระจายมัลแวร์ในวงกว้าง

ในทางกลับกัน ผู้โจมตีสามารถรับข้อมูลระบุตัวตนส่วนบุคคล ข้อมูลบัญชี รหัสผ่าน และข้อมูลที่ละเอียดอ่อนอื่น ๆ ของผู้ใช้ผ่านการโจมตีทางวิศวกรรมสังคม ผู้โจมตียังสามารถใช้อีเมลหลอกลวง ข้อความ หรือโทรศัพท์เพื่อหลอกล่อผู้ใช้ให้คลิกลิงก์ที่เป็นอันตราย หรือดาวน์โหลด ไฟล์ที่เป็นอันตราย ผู้ใช้ควรใช้รหัสผ่านที่รัดกุมซึ่งประกอบด้วยตัวอักษร ตัวเลข และสัญลักษณ์ผสมกัน และเปลี่ยนรหัสผ่านเป็นประจำเพื่อลดโอกาสที่ผู้โจมตีจะเดาหรือใช้เทคนิควิศวกรรมสังคมเพื่อรับรหัสผ่าน ในเวลาเดียวกัน มีการใช้การรับรองความถูกต้องแบบหลายปัจจัยเพื่อเพิ่มความปลอดภัยของบัญชีโดยใช้ปัจจัยการรับรองความถูกต้องเพิ่มเติม (เช่น รหัสยืนยัน SMS การจดจำลายนิ้วมือ ฯลฯ ) และปรับปรุงความสามารถในการป้องกันการโจมตีประเภทนี้

"ข้อกำหนดแนวทางปฏิบัติด้านความปลอดภัยของโครงการ Web3" และ "คำแนะนำด้านความปลอดภัยของห่วงโซ่อุปทานอุตสาหกรรม Web3" ที่เผยแพร่โดยทีมรักษาความปลอดภัย SlowMist ได้รับการออกแบบมาเพื่อแนะนำและเตือนฝ่ายต่างๆ ของโครงการ Web3 ให้ใส่ใจกับมาตรการรักษาความปลอดภัยรอบด้าน ระบบตรวจสอบความปลอดภัยของ MistEye ใช้งานโดยทีมรักษาความปลอดภัย SlowMist ครอบคลุมข้อมูลรอบด้าน เช่น การตรวจสอบสัญญา การตรวจสอบส่วนหน้าและส่วนหลัง การค้นพบช่องโหว่และการเตือนล่วงหน้า ฯลฯ โดยมุ่งเน้นไปที่การรักษาความปลอดภัยของกระบวนการทั้งหมดของโครงการ DeFi ก่อน ระหว่าง และหลังงาน ฝ่ายโครงการสามารถใช้ระบบตรวจสอบความปลอดภัยของ MistEye เพื่อควบคุมความเสี่ยงและปรับปรุงความปลอดภัยของโครงการ