O que você precisa saber antes de ler esse texto:

Coisas a saber:

– 14 De dezembro de 2023, Ledger experimentou uma exploração no Ledger Connect Kit, uma biblioteca Javascript para conectar sites a carteiras. – A indústria colaborou com a Ledger para neutralizar a exploração e tentar congelar fundos roubados muito rapidamente – a exploração estava efetivamente funcionando por menos de duas horas.  – Essa exploração está sendo investigada, Ledger apresentou queixas e ajudará os indivíduos afetados a tentar recuperar fundos.  – Esta exploração não afetou e não afeta a integridade do hardware Ledger ou do Ledger Live. – A exploração foi limitada a DApps de terceiros que utilizam o Ledger Connect Kit.

Esse texto foi traduzido e sua versão original se encontra aqui

Olá a todos, pessoal,

Hoje experimentamos uma exploração no Ledger Connect Kit, uma biblioteca Javascript que implementa um botão que permite aos usuários conectar seu dispositivo Ledger a DApps de terceiros (sites conectados à carteira).

Essa exploração foi o resultado de um ex-funcionário ser vítima de um ataque de phishing, o que permitiu que um ator ruim carregasse um arquivo malicioso no Ledgerilits NPMJS (um gerenciador de pacotes para código Javascript compartilhado entre aplicativos).

Trabalhamos rapidamente, juntamente com o nosso parceiro WalletConnect, para resolver a exploração, atualizando o NPMJS para remover e desativar o código malicioso dentro de 40 minutos após a descoberta. Este é um bom exemplo da indústria trabalhando rapidamente em conjunto para enfrentar os desafios de segurança. 

Agora, gostaria de abordar por que isso aconteceu, como melhoraremos nossas práticas de segurança para mitigar esse risco específico no futuro e compartilharemos nossa recomendação ao setor, para que possamos ser mais fortes juntos.

A prática padrão do Ledger é que nenhuma pessoa pode implantar código sem a revisão por várias partes. Temos fortes controles de acesso, revisões internas e multi-assinaturas de código quando se trata da maior parte do nosso desenvolvimento. É o caso em 99% dos nossos sistemas internos. Qualquer funcionário que deixar a empresa tem seu acesso revogado em todos os sistemas Ledger.

Foi um infeliz incidente isolado. É um lembrete de que a segurança não é estática e o Ledger deve melhorar continuamente nossos sistemas e processos de segurança. Nesta área, a Ledger implementará controles de segurança mais fortes, conectando nosso pipeline de construção que implementa uma rigorosa segurança da cadeia de suprimentos de software ao canal de distribuição NPM.

Também é um lembrete de que, coletivamente, precisamos continuar a elevar o nível de segurança em torno dos DApps, onde os usuários se envolverão na assinatura baseada em navegador. Foi o serviço Ledger’ que foi explorado desta vez, mas no futuro isso poderia acontecer com outro serviço ou biblioteca.

Na Ledger, acreditamos que a assinatura clara, em oposição à assinatura cega, ajudará a mitigar esses problemas. Se o usuário puder ver o que assina em uma tela confiável, a assinatura não intencional de transações desonestas pode ser evitada.

Os dispositivos Ledger são plataformas abertas. O Ethereum tem um sistema de plugins que permite que os DApps implementem uma assinatura clara, e os DApps que gostariam de implementar essa proteção para seus usuários podem aprender como em developer.ledger.com. Da mesma forma que vimos a comunidade se unir hoje, esperamos sua ajuda trazendo uma assinatura clara para todos os DApps.

Ledger se envolveu com as autoridades e está fazendo tudo o que pode para ajudar à medida que esta investigação se desenrola. O Ledger apoiará os usuários afetados para ajudar a encontrar esse ator ruim, levá-los à justiça, rastrear os fundos e trabalhar com a polícia para ajudar a recuperar ativos roubados do hacker. Lamentamos profundamente os eventos que se desenrolaram hoje para os indivíduos afetados. 

A situação está agora sob controle e a ameaça passou. Entendemos o pânico que isso causou para a comunidade e para o ecossistema mais amplo. 

Uma linha do tempo completa está disponível abaixo para que você possa ver como nossas equipes e parceiros responderam.

Merci, senhor,
Pascal Gauthier

Presidente e CEO

 

—–

Aqui está a linha do tempo do que sabemos sobre a exploração neste momento:

Esta manhã, o CET, um ex-funcionário da Ledger, foi vítima de um ataque de phishing que obteve acesso à sua conta NPMJS. O invasor publicou uma versão maliciosa do Ledger Connect Kit (afetando as versões 1.1.5, 1.1.6 e 1.1.7). O código malicioso usou um projeto nocivo do WalletConnect para redirecionar fundos para uma carteira de hackers. As equipes de tecnologia e segurança do LedgerBu foram alertadas e uma correção foi implantada dentro de 40 minutos após o Ledger tomar conhecimento. O arquivo malicioso ficou ativo por cerca de 5 horas, no entanto, acreditamos que a janela onde os fundos foram drenados foi limitada a um período de menos de duas horas. Ledger coordenou com o WalletConnect que rapidamente desativou o projeto desonesto. O Ledger Connect Kit genuíno e verificado versão 1.1.8 agora está se propagando e é seguro de usar.

Para construtores que estão desenvolvendo e interagindo com o código Ledger Connect Kit: a equipe de desenvolvimento do Connect-Kit no projeto NPM agora é somente leitura e pode enviar diretamente o pacote NPM por razões de segurança. Nós rodamos internamente os segredos para publicar no Ledgerilits GitHub. Desenvolvedores, por favor, verifique novamente que você está usando a versão mais recente, 1.1.8.

Ledger, juntamente com a WalletConnect e nossos parceiros, relataram o endereço da carteira do mau ator. O endereço agora é visível na Chainalysis. Tether congelou o mau actor’ USDT.

Lembramos aos usuários que sempre Limpar o Sinal com o seu Ledger. O que você vê na tela do Ledger é o que você realmente assina. Se você ainda precisar assinar às cegas, use uma carteira de menta Ledger adicional ou analise sua transação manualmente. Estamos conversando ativamente com clientes cujos fundos podem ter sido afetados e trabalhando proativamente para ajudar esses indivíduos neste momento. Também estamos apresentando uma queixa e trabalhando com a polícia na investigação para encontrar o agressor. Além disso, estudamos a exploração para evitar novos ataques. Nós acreditamos que o endereço do atacanteilits onde os fundos foram drenados está aqui: 0x658729879fca881d9526480b82ae00efc54b5c2d

Gostaríamos de agradecer ao WalletConnect, Tether, Chainalysis, zachxbt e toda a comunidade que nos ajudou e continua a nos ajudar a identificar e resolver rapidamente esse ataque. A segurança sempre prevalecerá com a ajuda de todo o ecossistema.

A equipe Ledger