本次事件涉及大量公鏈上的使用者被盜
封面:Photo by Joan Gamell on Unsplash
2023 年 12 月 14 日,據 Beosin EagleEye 安全態勢感知平臺消息,大量去中心化應用由於使用 Ledger 被惡意植入的庫導致使用者資產被盜,駭客獲利超 60 萬美元。 Beosin 安全團隊第一時間對事件進行了分析,結果如下。
connect-kit 簡介
connect-kit 是 Ledger 的一個 Javascript 庫,允許使用者將其 Ledger 設備連接到第三方 DApp。 庫連結位址: https://www.npmjs.com/package/@ledgerhq/connect-kit
漏洞分析
該事件發生的原因是因為一名前 Ledger 員工被網路釣魚攻擊,而 Ledger 並未取消該員工的代碼訪問許可權,攻擊者從而獲得了其 NPMJS 帳戶的訪問許可權。 隨後,攻擊者發佈了 Ledger Connect Kit 的惡意版本(受影響版本為 1.1.5、1.1.6 和 1.1.7)。
攻擊流程
早在 4 個月前,攻擊者便發佈了 Ledger Connect Kit 1.1.5 惡意版本,並在兩個月前先後發佈了 Ledger Connect Kit 1.1.6 和 Ledger Connect Kit 1.1.7 兩個惡意版本,通過 CDN 分發,利用惡意代碼將使用者的資金轉移到指定的駭客錢包位址。
資金追蹤
目前駭客的資金位址(0x658729879fca881d9526480b82ae00efc54b5c2d)已被 EagleEye 標記為 Ledger Exploiter,用戶可以在 EagleEye 網站上對其進行實時監控:
此次攻擊涉及多條公鏈,駭客轉移了眾多使用者在 Ethereum、BNB Chain、Arbitrum、Base、Fantom 等網路的資產,獲利超 60 萬美元。
根據 Beosin trace 查詢顯示,截止發文時,乙太坊上的被盜資金部分被發到了 Fake_Phishing268838 釣魚位址:
0x1b9f9964a073401a8bc24f64491516970bb84e47
其餘還保存在攻擊者位址中(由於代幣種類過多,以下圖片僅展示部分資訊)
BSC 鏈上被盜資金目前全部保存在攻擊者位址中:
安全建議
本次事件再次反映了供應鏈安全的重要性。 在 Web3 安全中,供應鏈安全經常被開發者和安全團隊忽視,而駭客可以通過軟體供應鏈的各個環節植入惡意代碼,竊取使用者資訊和數位資產,進行大規模的攻擊。
Beosin 對防範此類安全事件的建議如下:
1. 在選擇和使用第三方軟體或元件時,需進行安全審查和驗證。 瞭解第三方的安全標準和實踐,確保軟體沒有被篡改或植入惡意代碼。
2. 採用安全的開發實踐,如使用安全編碼標準、代碼審查、漏洞掃描和安全測試等,確保軟體在開發過程中始終處於安全狀態。
3. 及時應用軟體供應商發佈的安全更新和補丁,以修復已知的漏洞和缺陷。 保持軟體處於最新版本,減少被攻擊的風險。
4. 採用多層次的安全防禦策略,包括網路安全、終端安全和數據安全等。 使用入侵檢測系統、終端安全軟體和數據加密等措施,提高整個軟體供應鏈的安全性。
5. 建立監測和響應機制,及時檢測異常活動和潛在的供應鏈攻擊,並採取相應的應對措施,如隔離受感染的代碼庫、及時修復漏洞和恢復數據等。
6. 提供員工培訓和意識提升,使其能夠識別社會工程學攻擊與供應鏈攻擊,並採取適當的防範措施,如警惕釣魚郵件、不隨意下載附件等。 開發團隊的員工許可權需要及時更新,交接代碼許可權需做到透明清晰。
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
