Компания Ledger компенсирует убытки жертвам хака из-за недавней уязвимости и не допустит взломы в дальнейшем. Но как?

14 декабря 2023 года в программном обеспечении от производителей аппаратных кошельков Ledger была обнаружена уязвимость, которая позволила хакеру украсть около 600 тысяч долларов в криптовалюте. В итоге проблему исправили, а руководитель компании Паскаль Готье заявил, что компания компенсирует потери всем пострадавшим. Теперь на её официальном аккаунте в Твиттере было опубликовано детальное обращение по поводу инцидента. Оказывается, Ledger внесёт некоторые поправки в особенности работы своего программного обеспечения, а также вернёт деньги — причём всё это с чётко указанными сроками. Рассказываем о важной ситуации подробнее.

Важно понимать, что хак пришёлся на библиотеку коннектора Ledger Connect Kit, который необходим для подключения криптовалютного кошелька к децентрализованным приложениям. Проблема не затронула аппаратные кошельки Ledger или приложение Ledger Live, позволяющее проводить операции с помощью собственного устройства.

Соответственно, пользоваться ими по-прежнему безопасно. Ну а смысл создавать новый набор адресов после генерации новой сид-фразы тоже отсутствует.

Компания Ledger компенсирует убытки жертвам хака из-за недавней уязвимости и не допустит взломы в дальнейшем. Но как? Аппаратный кошелёк Ledger Nano X. Фото.

Аппаратный кошелёк Ledger Nano X

Однако пользователи коннектора потеряли немалую сумму в эквиваленте сотен тысяч долларов. Поэтому французский производитель был вынужден отреагировать на ситуацию, что он и сделал.

Безопасно ли пользоваться Ledger?

Утром 14 декабря злоумышленник совершил успешную фишинговую атаку на одного из сотрудников Ledger. Через него хакеру удалось получить доступ к аккаунту жертвы в NPMJS, менеджере пакетов Javascript.

Далее злоумышленник воспользовался особыми правами и опубликовал вредоносную версию программной библиотеки Ledger Connect Kit. Речь идёт о так называемом коннекторе, который позволяет пользователям криптовалютных кошельков подключать их к различным децентрализованным приложениям.

После публикации вредоносного программного обеспечения оно было активировано и добралось до ничего не подозревающих клиентов.

Признаки хакерской атаки

Это позволило хакеру перенаправлять средства жертв на свой кошелёк с помощью вредоносной версии коннектора. Данный процесс длился чуть больше двух часов, после чего представители Ledger заметили уязвимость. На решение проблемы ушло около 40 минут, однако из-за особенностей работы программного обеспечения весь процесс замены мошеннического ПО на подлинное занял около 5 часов.

😈 БОЛЬШЕ ИНТЕРЕСНОГО МОЖНО НАЙТИ У НАС В ЯНДЕКС.ДЗЕНЕ!

Для минимизации последствий атаки Ledger прибегнула к помощи Tether: эмитент крупнейшего стейблкоина заморозил украденные хакером USDT. Информацию об этом подтвердил в Твиттере генеральный директор Tether Паоло Ардоино.

Твит о заморозке USDT на кошельке хакера Ledger

Согласно данным источников Decrypt, пострадавшие от атаки пользовались для проведения транзакции методом слепой подписи транзакций. Иначе говоря, они проводили переводы, не зная, какой именно окажется реальная транзакция. А поскольку во взломанной библиотеке Ledger Connect Kit был внедрён так называемый дрейнер, последний менял криптовалютные адреса получателя транзакций на кошелёк хакера.

В обращении Ledger отмечено, что пострадавшие получат свои компенсации в ближайшее время. Вот соответствующая реплика из твита сотрудников компании.

Наш генеральный директор и председатель совета директоров Паскаль Готье убедится, что жертвы инцидента 14 декабря 2023 года получат компенсацию в полном объёме, включая пользователей, которые не являются клиентами Ledger. Мы обязуемся любыми возможными способами, включая жесты доброй воли, сделать так, чтобы данный процесс завершился к концу февраля 2024 года. Мы уже связались со многими пострадавшими пользователями и активно работаем с ними над конкретными вопросами.

Напомним, особенностью аппаратных кошельков Ledger является наличие экрана. Он не подключается к интернету, в связи с чем на него невозможно повлиять снаружи. Это значит, что дисплей устройств данной компании будет показывать настоящие данные в отношении проводимой транзакции, так что хакер не сможет незаметно заменить адрес получателя на свой. К примеру, вот наша фотография с отправкой криптовалюты Solana SOL в стейкинг. Устройство показывает сумму транзакции, адрес и прочие детали — это и есть прозрачная подпись.

Уведомление о стейкинге SOL в Ledger

Однако не все децентрализованные приложения её поддерживают. Это значит, что, к примеру, при обмене криптовалюты SOL на токен BONK через знакомый нам кошелёк Phantom с кошельком Ledger Nano X последний покажет разве что хеш транзакции и сообщит о неподдерживаемом типе операции. Соответственно, пользователь будет вынужден доверять платформе и одобрять транзакцию вслепую, то есть не видя её реальных деталей.

Этим и воспользовался хакер в середине декабря. В данном случае пользователи Ledger Connect Kit с аппаратными кошельками не могли проверить правдивую информацию о транзакции и по сути попросту отправляли свои монеты хакеру.

Руководитель компании Ledger Паскаль Готье

К июню 2024 года Ledger планирует полностью избавиться от метода слепой подписи, а значит аппаратные кошельки в теории могут перестать работать с платформами, создатели которых не поддерживают прозрачную подпись. Как отметили сотрудники компании, они будут активно взаимодействовать с разработчиками популярных протоколов для максимально активного внедрения прозрачного способа подписи транзакций.

Также в объявлении отмечено, что защита от подобного рода атак всегда будет оставаться на пользователе. Вот реплика.

Фронтенд-атаки происходили уже много раз, и они ещё долго будут досаждать нашей экосистеме. Единственная надёжная мера противодействия этому типу атак – всегда проверять, на что вы соглашаетесь на своём устройстве. Это возможно только с помощью метода прозрачной подписи. То есть вы можете видеть и проверять, что именно вы подписываете, на защищённом экране.

Способ взлома Ledger Connect Kit тоже вызывает удивление. Как мы отмечали раньше, хакер провёл атаку на бывшего сотрудника Ledger, который уже не работает в компании. Почему у него до сих пор был доступ к упомянутой библиотеке — неизвестно.

Аппаратный кошелёк Ledger Stax

Ранее компания уже несколько раз сталкивалась с критикой из-за не лучших решений менеджмента. Например, в 2020 году была взломана база данных клиентов Ledger в распоряжении другой компании, в результате чего было скомпрометировано множество электронных адресов пользователей вместе с их номерами телефонов и место жительства.

В начале этого года компания также пыталась запустить сервис восстановления сид-фразы под названием Ledger Recover, однако из-за сомнительной коммуникации релиз решили перенести. Сам он уже состоялся.

Сложившаяся ситуация оказалась неприятной, однако её исход всё же довольно неплохой. Во-первых, Ledger компенсирует убытки, а значит жертвы хака смогут вернуть свои деньги. Во-вторых, спустя полгода аппаратные кошельки компании перестанут работать на основе слепой подписи. Соответственно, у пользователей таких девайсов будет куда меньше возможностей для потери криптоактивов.

Хотите быть в курсе других важных новостей индустрии? Присоединяйтесь к нашему крипточату. Там поговорим и на другие важные темы, связанные с индустрией децентрализованных активов и блокчейна.

ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ. ТУЗЕМУН НЕ ЗА ГОРАМИ!