Ledger ได้เริ่มจัดส่ง Hardware Wallet ของ Ledger Stax ใหม่ให้กับลูกค้าที่สั่งซื้อล่วงหน้ามานานกว่าหนึ่งปีแล้ว หลังจากที่วันเปิดตัวครั้งแรกเกิดความล่าช้า มีรายงานว่าในวันที่ 6 ธันวาคม 2022 ที่การประชุมนักพัฒนา Web3 Ledger Op3n Ledger เปิดเผยว่าได้ร่วมมือกับ Tony Fadell ผู้ประดิษฐ์ iPod เพื่อพัฒนากระเป๋าเงินฮาร์ดแวร์ใหม่ที่เรียกว่า Ledger Stax อย่างไรก็ตามผลิตภัณฑ์ไม่จัดส่งตามที่สัญญาไว้

Ledger โพสต์บนโซเชียลมีเดียว่าในเหตุการณ์ความปลอดภัยขนาดใหญ่เมื่อสัปดาห์ที่แล้ว ทรัพย์สินประมาณ 600,000 ดอลลาร์ได้รับผลกระทบและถูกขโมยจากผู้ใช้ที่ลงนามแบบสุ่มสี่สุ่มห้าใน EVM DApp Ledger จะพยายามอย่างดีที่สุดเพื่อช่วยบุคคลที่ได้รับผลกระทบ (รวมถึงผู้ใช้ที่ไม่ใช่ Ledger) กู้คืนเงินทุนของพวกเขาก่อนสิ้นเดือนกุมภาพันธ์ 2024 และมุ่งมั่นที่จะทำงานร่วมกับระบบนิเวศ DApp เพื่อให้ Clear Signing ได้ ขณะนี้ได้ตัดสินใจที่จะไม่อนุญาตให้ใช้อีกต่อไป ของ Ledger ก่อนเดือนมิถุนายน 2024 อุปกรณ์ดังกล่าวดำเนินการ Blind Signing

เจ้าหน้าที่บัญชีแยกประเภทระบุว่าโปรดระวังฟิชชิ่งและการหลอกลวงอย่างต่อเนื่อง Ledger มีบัญชีโซเชียลมีเดียจริงเพียงสองบัญชีเท่านั้น ได้แก่ @ledger และ @ledger_support ส่วนที่เหลือเป็นบัญชีปลอม และใครก็ตามที่ขอวลีกู้คืน 24 คำที่เป็นความลับของคุณถือเป็นอาชญากร

ตามข่าวกรองจากทีมรักษาความปลอดภัย SlowMist ในตอนเย็นของวันที่ 14 ธันวาคม 2023 ตามเวลาปักกิ่ง Ledger Connect Kit ประสบกับการโจมตีในห่วงโซ่อุปทาน และผู้โจมตีได้รับเงินอย่างน้อย 600,000 เหรียญสหรัฐ ทีมรักษาความปลอดภัย SlowMist เข้าแทรกแซงการวิเคราะห์ทันทีและออกคำเตือนล่วงหน้า:

Yu Xian ผู้ก่อตั้ง Slow Mist โพสต์บนโซเชียลมีเดียเกี่ยวกับช่องโหว่ของ Ledger: 1. ปัญหาของโมดูล Ledger ledgerhq/connect-kit ที่ถูกวางยานั้นได้รับการบรรเทาลงโดยทั่วไปแล้ว แต่รหัสที่วางยาพิษอาจยังคงถูกแคชไว้ในเบราว์เซอร์ ถ้า ไม่แน่นอน โปรดแน่ใจว่าได้ล้างแคชของเบราว์เซอร์แล้ว (รวมถึงแคชเบราว์เซอร์ในตัวของแอพกระเป๋าเงินที่คุณใช้อยู่) 2. ผู้ใช้จะต้องตรวจสอบทุกธุรกรรมในกระเป๋าเงินอีกครั้งเพื่อลงนาม 3. กระเป๋าเงิน Ledger ตัวเองไม่ได้รับผลกระทบ 4. การโจมตีห่วงโซ่อุปทานนี้รายละเอียดน่าสนใจมากและนักล่าดังกล่าวไม่ได้หายากในป่ามืดแห่งนี้ 5. Tether ดำเนินการทันเวลาและแช่แข็งกำไร USDT จากการตกปลา ในการเปรียบเทียบ USDC ยังคงถูกเพิกเฉย เช่นเคย

แอปพลิเคชั่นที่ใช้ Ethereum จำนวนมาก รวมถึง Zapper, SushiSwap, Phantom, Balancer และ Revoid.cash ถูกโจมตีเมื่อวันพฤหัสบดีเนื่องจากข้อบกพร่องด้านความปลอดภัยใน Ledger การโจมตีนี้เกิดจากการโจมตีของซัพพลายเชนบน Ledger Connect Kit ยังไม่ชัดเจนว่าแอปพลิเคชั่นกระจายอำนาจ (dapps) ได้รับผลกระทบจำนวนเท่าใด หรือสูญเสียเงินไปเท่าใด “โปรดอย่าโต้ตอบกับ dApps ใด ๆ จนกว่าจะมีประกาศเพิ่มเติม” Matthew Lilley CTO ของ Sushi เขียนบน Twitter

แฮกเกอร์ขโมยเงิน 484,000 ดอลลาร์ในวันพฤหัสบดีหลังจากแทรกโค้ดที่เป็นอันตรายลงในที่เก็บ Github ของ Connect Kit ซึ่งเป็นซอฟต์แวร์บล็อคเชนที่ใช้กันอย่างแพร่หลายซึ่งดูแลโดยบริษัทกระเป๋าเงินคริปโต Ledger โปรโตคอลการเงินแบบกระจายอำนาจ (DeFi) ที่สำคัญหลายตัวที่ใช้ไลบรารีได้รับผลกระทบ และผู้ใช้จะได้รับคำเตือนว่าอย่าใช้แอปพลิเคชันแบบกระจายอำนาจ (dApps) จนกว่าโปรโตคอลเหล่านี้จะได้รับการอัปเดต Connect Kit ของ Ledger เป็นโค้ดชิ้นหนึ่งที่อนุญาตให้โปรโตคอล DeFi เชื่อมต่อกับกระเป๋าเงินฮาร์ดแวร์เข้ารหัสลับ ช่องโหว่นี้อาจส่งผลกระทบต่อส่วนหน้าของโปรโตคอลทั้งหมดที่ใช้ Connect Kit รวมถึง Sushi, Lido, Metamask และ Coinbase และอื่นๆ อีกมากมาย ในขณะที่ Ledger ได้อัปเดตโค้ดของตัวเองแล้ว ทุกโปรโตคอลที่ใช้ Connect Kit ของ Ledger จะต้องอัปเดตเวอร์ชันของไลบรารีด้วยตนเองเพื่อลดความเสี่ยงอย่างเต็มที่

ปลอดภัย (เดิมคือ Gnosis Safe) โพสต์บนแพลตฟอร์ม X ว่าช่องโหว่ Ledger Connect ได้รับการแก้ไขแล้ว ความปลอดภัยยังไม่ถูกบุกรุก ปลอดภัยไม่ได้รับผลกระทบจากช่องโหว่นี้ ฟังก์ชันแอปความปลอดภัยและ WalletConnect ได้รับการกู้คืนแล้ว และบัญชีของผู้โจมตีได้รับการติดธงและติดธงใน UI เพื่อเพิ่มความปลอดภัย

Scopescan กล่าวบนแพลตฟอร์ม X ว่าผู้โจมตี Ledger กำลังโอนเงินไปยังที่อยู่ใหม่และแลกเปลี่ยน USDC เป็น ETH จนถึงขณะนี้มีการโอนทรัพย์สินประมาณ 150,000 ดอลลาร์แล้ว ก่อนหน้านี้ที่อยู่นี้พยายามทดสอบการผสม ETH บางส่วนบนแพลตฟอร์ม ChangeNOW

Ledger เปิดตัวการอัปเดตช่องโหว่ล่าสุดบนแพลตฟอร์ม X ซึ่งบ่งชี้ว่า Ledger Connect Kit เวอร์ชัน 1.1.8 ของแท้และได้รับการยืนยันแล้วได้แพร่กระจายไปแล้วและปลอดภัยในการใช้งาน สำหรับผู้สร้างที่กำลังพัฒนาและโต้ตอบกับโค้ด Ledger Connect Kit: ขณะนี้ทีมพัฒนาชุดเชื่อมต่อในโครงการ NPM เป็นแบบอ่านอย่างเดียวและไม่สามารถส่งแพ็คเกจ NPM ได้โดยตรงด้วยเหตุผลด้านความปลอดภัย นอกจากนี้ โค้ดที่เป็นอันตรายยังใช้โปรเจ็กต์ WalletConnect อันธพาลเพื่อเปลี่ยนเส้นทางเงินทุนไปยังกระเป๋าเงินที่ถูกแฮ็ก - ทีมเทคนิคและความปลอดภัยของ Ledger ได้รับการแจ้งเตือนและดำเนินการแก้ไขภายใน 40 นาทีหลังจากที่ Ledger ทราบ ไฟล์ที่เป็นอันตรายใช้เวลาประมาณห้าชั่วโมง แต่กรอบเวลาที่เงินหมดนั้นถูกจำกัดไว้ไม่เกินสองชั่วโมง ทีมงานกำลังยื่นเรื่องร้องเรียนและทำงานร่วมกับหน่วยงานบังคับใช้กฎหมายในการสืบสวนเพื่อค้นหาผู้โจมตี และกำลังศึกษาช่องโหว่เพื่อหลีกเลี่ยงการโจมตีเพิ่มเติม