作者:Lisa、山,慢霧安全團隊
根據慢霧安全團隊情報,北京時間2023 年12 月14 日晚,Ledger Connect Kit 遭受供應鏈攻擊,攻擊者至少獲利60 萬美元。
慢霧安全團隊第一時間介入分析,並發出預警:
目前事件已官方解決,慢霧安全團隊現將緊急資訊分享如下:
時間軸
7:43 PM,推特用戶@g4sarah 表示DeFi 資管協議Zapper 的前端疑似被劫持。
8:30 PM,Sushi 技術長Matthew Lilley 在推特發布警告稱:「請用戶切勿與任何dApp 交互,直至另行通知。一個常用的Web3 connector(某JavaScript 庫,是web3-react 項目的一部分)疑似已被破壞,允許注入影響眾多dApp 的惡意程式碼。」隨後,其表示Ledger 可能存在可疑程式碼。慢霧安全團隊第一時間表示正在跟進和分析此事件。
8:56 PM,Revoke.cash 在推特發文表示:「與Ledger Connect Kit 函式庫整合的多個常用加密應用程式(包括Revoke.cash)已受到損害。我們暫時關閉了網站。我們建議在該漏洞利用期間不要使用任何加密網站。」隨後,跨鏈DEX 專案Kyber Network 也表示,出於謹慎考慮,已停用前端UI,直到情況明確為止。
9:31 PM,Ledger 也發布提醒:「我們已識別並刪除了Ledger Connect Kit 的惡意版本。現在正在推送正版版本來替換惡意文件,暫時不要與任何dApp 互動。有新情況的話,我們會通知您。您的Ledger 設備和Ledger Live 沒有受到損害。」
9:32 PM,MetaMask 也發布提醒:「用戶在MetaMask Portfolio 上執行任何交易之前,請確保已在MetaMask 擴展中啟用Blockaid 功能。」
攻擊影響
慢霧安全團隊立即展開相關程式碼的分析,我們發現攻擊者在@ledgerhq/connect-kit =1.1.5/1.1.6/1.1.7 版本中植入惡意的JS 程式碼,直接用Drainer 類別替換正常的窗口邏輯,不僅會彈出偽造的DrainerPopup 彈跳窗,也會處理各種資產的轉帳邏輯。透過CDN 分發對加密貨幣用戶發動釣魚攻擊。
影響版本範圍:
@ledgerhq/connect-kit 1.1.5 ( 攻擊者在代碼中提到Inferno,猜測是向專門從事多鏈詐騙的釣魚團夥Inferno Drainer“致敬”)
@ledgerhq/connect-kit 1.1.6 ( 攻擊者在程式碼中留言並植入惡意的JS 程式碼)
@ledgerhq/connect-kit 1.1.7 ( 攻擊者在程式碼中留言並植入惡意的JS 程式碼)
Ledger 表示Ledger 錢包本身沒影響,受影響的是整合了Ledger Connect Kit 庫的應用程式。
然而,許多應用程式都使用了Ledger Connect Kit(如SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash 等),影響面只會大不會小。
攻擊者這一波攻擊,就可以執行與應用程式具有相同權限等級的任意程式碼。例如,攻擊者無需互動即可立即耗盡用戶的所有資金;發布大量釣魚連結誘導用戶上當;甚至利用用戶的恐慌情緒,用戶試圖將資產轉入新地址,但下載了假錢包導致資產損失。
技戰法分析
上面我們分析了攻擊的影響,根據歷史應急經驗推測,這可能是一起有預謀的社會工程學釣魚攻擊。
根據@0xSentry 的推文,攻擊者留下的數字痕跡中涉及@JunichiSugiura(Jun,Ledger 前員工)的Gmail 帳戶,該帳戶可能已被洩露,並且Ledger 忘記刪除該員工的訪問權限了。
11:09 PM,官方證實了此猜測—— 一名前Ledger 員工成為網路釣魚攻擊的受害者:
1)攻擊者獲得了對該員工NPMJS 帳戶的存取權限;
2)攻擊者發布了Ledger Connect Kit 的惡意版本(1.1.5、1.1.6 和1.1.7);
3)攻擊者透過惡意程式碼,使用惡意WalletConnect 將資金指定轉移到駭客錢包位址。
目前,Ledger 已發布了經過驗證的正版Ledger Connect Kit 版本1.1.8,請及時升級。
雖然Ledger npmjs 被投毒的版本已經刪除,但目前在jsDelivr 上還有一個有毒js 檔案:
https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1.1.7
https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1.1.6
注意因為CDN 的因素可能存在的延遲,官方建議等24 小時後再使用Ledger Connect Kit。
建議專案方發布依賴第三方CDN 鏡像來源時,一定記得鎖定相關版本,防止惡意發版然後更新帶來的危害。 (來自@galenyuan 的建議)
目前官方已經接受相關建議,相信接下來會更改策略:
Ledger 官方最終時間線:
MistTrack 分析
Drainer customer: 0x658729879fca881d9526480b82ae00efc54b5c2d
Drainer fee address: 0x412f10AAd96fD78da6736387e2C84931Ac20313f
根據MistTrack 分析,攻擊者(0x658) 至少獲利60 萬美元,且與釣魚團夥Angel Drainer 有關聯。
Angel Drainer 團夥主要的攻擊方式是對域名服務提供者及工作人員進行社會工程學攻擊,感興趣可點擊閱讀黑暗“天使”—— Angel Drainer 釣魚團夥揭秘。
Angel Drainer(0x412) 目前持有近36.3 萬美元的資產。
根據慢霧威脅情報網絡,有以下發現:
1)IP 168.*.*.46,185.*.*.167
2)攻擊者已將部分ETH 換成XMR
11:09 PM,Tether 凍結了Ledger 漏洞者的位址。另外,MistTrack 已封鎖相關地址,並將持續監控資金異動。
總結
本次事件再次印證DeFi 安全不只是合約安全,安全是一個整體。
一方面,本次事件反映了供應鏈安全漏洞可能導致嚴重的後果。惡意軟體和惡意程式碼可以在軟體供應鏈的不同環節中植入,包括開發工具、第三方程式庫、雲端服務和更新流程。一旦這些惡意元素被成功注入,攻擊者可以利用它們來竊取加密貨幣資產和用戶敏感資訊、破壞系統功能、勒索企業或大規模傳播惡意軟體。
另一方面,攻擊者可以透過社會工程學攻擊方式獲取用戶的個人識別資訊、帳戶憑證、密碼等敏感資訊;攻擊者也會使用欺騙性的電子郵件、簡訊或電話等方式,引誘用戶點擊惡意鏈接或下載惡意檔案。建議使用者使用強密碼,包括字母、數字和符號的組合,並定期更改密碼,以最大程度地減少攻擊者猜測或使用社會工程技巧獲取密碼的機會。同時,實施多因素身份驗證,透過使用額外的認證因素(如簡訊驗證碼、指紋識別等)來增加帳戶的安全性,提高對這種類型攻擊的防範能力。