Hackeři ve čtvrtek ukradli 484 tisíc dolarů poté, co vložili škodlivý kód do knihovny Connect Kit na Githubu. Connect Kit je široce používaný blockchainový software spravovaný firmou Ledger, která se zabývá výrobou kryptopeněženek. Zasaženo bylo několik hlavních decentralizovaných finančních (DeFi) protokolů, které knihovnu využívají. Uživatelé byli varováni, aby se používání decentralizovaných aplikací (dApps) zcela vyhnuli, dokud nebudou tyto protokoly aktualizovány. Informovaly o tom servery CoinDesk a Cointelegraph.
Ledger Connect Kit je část kódu, která umožňuje protokolům DeFi připojit se ke kryptoměnovým hardwarovým peněženkám. Zneužití potenciálně ovlivňuje front-end všech protokolů, které používají Connect Kit, mezi něž patří například Sushi, Lido, Metamask a Coinbase.
Ve čtvrtečním příspěvku X, který se incidentem zabýval, společnost Ledger potvrdila, že jeden ze zaměstnanců byl cílem „phishingového útoku“, po kterém útočník „zveřejnil nebezpečnou verzi Ledger Connect Kit“.
FINAL TIMELINE AND UPDATE TO CUSTOMERS:
— Ledger (@Ledger) December 14, 2023
4:49pm CET:
Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.
The investigation continues, here is the timeline of what we know about…
Mluvčí společnosti Ledger sdělil serveru CoinDesk, že „identifikovali a odstranili škodlivou verzi sady Ledger Connect Kit“. Společnost ve svém příspěvku X uvedla, že „okno, kdy došlo k odčerpání prostředků, bylo omezeno na dobu kratší než dvě hodiny“.
Podobný hackerský útok by se mohl stát i dalším, dodal podle Cointelegraph CEO Ledgeru Pascal Gauthier. Ledger Connect Kit 1.1.8 je podle něj bezpečný a připravený k použití. Guthier poděkoval za pomoc společnostem WalletConnect, Tether, Chainalysis a ZachXBT.
Decentralizované aplikace pořád nemusí být bezpečné
Ačkoli Ledger aktualizoval svůj vlastní kód, Ido Ben-Natan, generální ředitel blockchainové bezpečnostní firmy Blockaid, uvedl, že „mnoho webových stránek je stále postiženo a uživatelé jsou zasaženi“. Aby bylo riziko zcela zmírněno, musí každý protokol používající Ledger Connect Kit ručně aktualizovat svou verzi knihovny.
Povaha útoku zdůrazňuje křehkost decentralizovaných aplikací. Protože protokoly využívají kód od několika poskytovatelů softwaru, jako je Ledger, existuje v dodavatelském řetězci mnoho bodů selhání, které mohou mít v konečném důsledku dopad na uživatele.
Ledger se již dříve stal obětí bezpečnostních problémů. V roce 2020 unikla celá jeho databáze zákazníků, což vedlo k obavám ze sim swappingu a útokům typu home invasion. V loňském roce také čelila kontroverzi poté, co aktualizace softwaru odhalila nesrovnalosti mezi zabezpečením jejího hardwaru a tím, jak byl uživatelům prodáván.