慢霧安全團隊在2023年12月14日晚上發布了關於由供應鏈攻擊導致的60萬美元損失的警報。該攻擊涉及Ledger Connect Kit以及與之整合的多個加密貨幣應用程式。攻擊者利用惡意程式碼在應用程式中實施釣魚攻擊。慢霧安全團隊分析發現攻擊者透過替換正常的程序邏輯,造成了資金損失和釣魚攻擊的影響。推薦項目方在使用第三方CDN鏡像來源時鎖定相關版本,以防止惡意發布和更新帶來的人道主義。 Ledger已經發布了已驗證的正版Ledger Connect Kit版本1.1.8,並建議進行及時升級。攻擊者與釣魚團夥Angel Drainer有關聯,在此過程中獲利60萬美元,Tether已經凍結了相關地址。整體而言,此事件再次突顯了供應鏈安全漏洞可能導致的嚴重後果,同時也強調了DeFi安全不僅是合約安全,還有整體的安全性。
作者:Lisa、山,慢霧安全團隊
根據慢霧安全團隊情報,北京時間2023年12月14日晚,Ledger Connect Kit受供應鏈攻擊,攻擊者至少獲利60萬美元。
慢霧安全團隊第一時間介入分析,並發布預警:
目前該事件已官方解決,慢霧安全得到團隊現將事故訊息分享如下:
時間軸
7:43 PM,推特用戶@g4sarah 表示DeFi 資管協議Zapper 的前沿疑似被劫持。
晚上8:30,Sushi 技術長Matthew Lilley 在推特發布警告稱:「請用戶與任何dApp 交易,協商協商通知。一個常用的Web3 連接器(某JavaScript 庫,是web3-react項目的一部分)疑似已被破壞,允許注入影響人群dApp 的惡意程式碼。」此外,其表示Ledger 可能存在可疑程式碼。慢霧安全團隊第一時間表示正在跟進和分析此事件。
8:56 PM,Revoke.cash 在推特發文表示:「與Ledger Connect Kit 庫整合的多個常用加密貨幣應用程式(包括Revoke.cash)已受到損害。我們暫時關閉了該網站。我們建議在該網站上。我們建議在該漏洞利用期間不要使用任何加密貨幣網站。」此外,跨鏈DEX計畫Kyber Network 也表示,由於珍珠,其取消了UI,直到情況已明確。
9:31 PM,Ledger 也發布提醒:「我們已識別並刪除了Ledger Connect Kit 的惡意版本。現在正在集體正版版本來替換惡意文件,暫時不要與任何dApp 互動。有新情況的話,我們會通知你。你的Ledger 設備和Ledger Live 不會受到損害。”
9:32 PM,MetaMask 也發布提醒:「用戶在MetaMask Portfolio 上執行任何交易之前,請確保已在MetaMask 擴展中啟用Blockaid 功能。」
攻擊影響
慢霧安全團隊立即展開相關程式碼的分析,我們發現攻擊者在@ledgerhq/connect-kit =1.1.5/1.1.6/1.1.7版本中入口惡意的JS程式碼,直接用Drainer類別取代正常的視窗邏輯,不僅會彈出格式的DrainerPopup彈跳窗,還可以處理各種資產的轉帳邏輯。透過CDN分發對加密貨幣用戶發動釣魚攻擊。
影響版本範圍:
@ledgerhq/connect-kit 1.1.5(攻擊者在代碼中提及Inferno,猜測是向專門從事多鏈詐騙的釣魚團夥Inferno Drainer「致敬」)
@ledgerhq/connect-kit 1.1.6 ( 攻擊者在程式碼中留言並入口惡意的JS 程式碼 )
@ledgerhq/connect-kit 1.1.7 ( 攻擊者在程式碼中留言並入口惡意的JS 程式碼 )
Ledger 表示Ledger 錢包本身沒有影響,這次整合了Ledger Connect Kit 庫的應用程式。
然而,許多應用程式都使用了Ledger Connect Kit(如SushiSwap、Zapper、MetalSwap、Harvest Finance、Revoke.cash 等),影響只是面大不會小。
攻擊者這一波攻擊,就可以執行與具有相同權限等級的任意程式碼的應用程式。例如,攻擊者互動即可立即耗盡用戶的所有資金;發布大量釣魚連結誘導用戶上當;甚至利用用戶的恐慌情緒,用戶試圖將資產轉入新地址,但下載了假錢包導致資產損失。
技戰法分析
上面我們分析了攻擊的影響,根據歷史調查經驗推測,這可能是一起有預謀的社會工程釣魚攻擊。
根據@0xSentry的推文,攻擊者留下的數字痕跡中涉及@JunichiSugiura(Jun,Ledger前)的Gmail帳戶,該帳戶可能已被洩露,並且Ledger忘記刪除該員工的訪問權限了該員工。
晚上11:09,官方證實了這個猜測——一名前Ledger 員工成為網路釣魚攻擊的受害者:
1)攻擊者取得該員工NPMJS帳戶的存取權限;
2)攻擊者發布了Ledger Connect Kit的惡意版本(1.1.5、1.1.6 和1.1.7);
3)攻擊者透過惡意程式碼,使用惡意WalletConnect將指定資金轉移到駭客錢包位址。
目前,Ledger已發布了經過驗證的正版Ledger Connect Kit版本1.1.8,請及時升級。
雖然Ledger npmjs被投毒的版本已經刪除,但目前在jsDelivr上還有帶毒的js檔:
https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1.1.7
https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1.1.6
注意因為CDN 的主要問題可能有延遲,官方等24 小時後再使用Ledger Connect Kit。
建議專案方發布依賴第三方CDN鏡像來源時,請務必鎖定相關版本,防止惡意發佈後更新帶來的人道主義。 (來自@galenyuan的建議)
目前官方已經接受相關建議,相信接下來會更改策略:
Ledger官方最終時間線:
MistTrack分析
排水器客戶:0x658729879fca881d9526480b82ae00efc54b5c2d
Drainer手續費地址:0x412f10AAd96fD78da6736387e2C84931Ac20313f
根據MistTrack 分析,攻擊者(0x658) 至少獲利60 萬美元,且與釣魚集團Angel Drainer 有關聯。
Angel Drainer 團夥主要的攻擊方式是對域名服務發動及工作人員進行社會工程學攻擊,感興趣的可點擊閱讀黑暗“天使”—— Angel Drainer 釣魚團夥揭秘。
Angel Drainer(0x412)目前近持有36.3萬美元的資產。
根據慢霧威脅情報網絡,有以下發現:
1)IP位址168.*.*.46,185.*.*.167
2)攻擊者已將部分ETH 換成XMR
11:09 PM,Tether 凍結了Ledger 漏洞者的位址。另外,MistTrack 拉黑相關地址,已佔用已持續監控資金異動。
總結
本次事件再次印證DeFi 安全不只是合約安全,安全是一個整體。
至此,本事件說明了供應鏈安全漏洞可能導致嚴重的後果。惡意軟體和惡意程式碼可以在軟體供應鏈的不同入口中,包括開發工具、第三方程式庫、雲端服務和更新過程。這些惡意元素被成功注入,攻擊者可以利用它們盜取加密貨幣資產和用戶敏感資訊、破壞系統功能、勒索企業或大規模傳播惡意軟體。
另一方面,攻擊者可以透過社會工程學攻擊方式獲取用戶的個人識別資訊、帳戶帳戶、密碼等敏感資訊;攻擊者也可以利用欺騙性的電子郵件、簡訊或電話等方式,誘騙用戶點擊惡意鏈接或下載惡意檔案。建議使用者使用強密碼,包括字母、數字和符號的組合,並定期更改密碼,以最大程度減少攻擊者猜測或使用社會工程技巧獲取密碼的機會。同時,實施多重身分驗證,透過使用額外的認證帳號(如簡訊驗證碼、指紋辨識等)來增加帳號的安全性,提高對此類類型攻擊的防禦能力。
資訊來源:0x資訊編譯自網際網路。版權歸作者慢霧科技所有,未經許可,不得轉載