Proizvođač kripto hardware novčanika Ledger potvrdio je exploit u sustavu koji je naveo pojedince u kripto zajednici da upozore korisnike da prestanu koristiti decentralizirane aplikacije (dapps), jer je bivši zaposlenik Ledgera nasjeo na phishing prijevaru.
Ime i e-mail adresa bivšeg zaposlenika pojavili su se u kompromitiranom kodu. U početku je kripto zajednica to shvatila kao da je sam programer odgovoran za exploit, ali Ledger je kasnije potvrdio da je napad započeo jer je bivši zaposlenik Ledgera postao žrtva phishing napada.
Napadač je uspio dobiti pristup NPMJS računu bivšeg zaposlenika, upravitelju paketa za programski jezik JavaScript. Paketi su biblioteke koje programeri mogu koristiti za izradu projekata, umjesto kodiranja svega od nule. U Web3 zajednici, programeri koriste pakete kako bi svoje decentralizirane aplikacije učinili dostupnim iz različitih novčanika.
Nakon što je eksploatator imao pristup NPMJS-u, umetnuo je zlonamjernu verziju Ledger Connect Kit-a. Svaki projekt koji je koristio Connect Kit sadržavao bi zlonamjerni kod koji bi mogao preusmjeriti sredstva korisnika u hakerski novčanik. Pogođene verzije Connect Kita su 1.1.5, 1.1.6 i 1.1.7, sve su u međuvremenu uklonjene s Ledgerove NPM stranice.
- Ledgerovi tehnološki i sigurnosni timovi bili su upozoreni i popravak je postavljen u roku od 40 minuta nakon što je Ledger saznao. Zlonamjerna datoteka bila je aktivna oko 5 sati, no vjerujemo da je razdoblje u kojem su sredstva ukradena bilo ograničeno na razdoblje kraće od dva sata - rekli su iz Ledgera.
Ledger sada kaže da je izbacio novu verziju Connect Kit-a (1.1.8) i da će se svi novčanici koji ga koriste automatski ažurirati. No upozorava se da bi korisnici ipak trebali pričekati 24 sata prije nego što se ponovo počnu koristiti decentralizirane aplikacije.
- Velika količina repozitorija samo na GitHubu koja se oslanja na connect-kit-loader sugerira da bi šteta učinjena kripto opskrbnom lancu mogla biti značajna osim ako programeri koji koriste ovaj paket ne provode odgovarajuću higijenu - rekao je Ilkka Turunen, terenski tehnički direktor kibernetičke sigurnosti tvrtke Sonatype.
Exploit je izazvao veliku paniku u industriji.
- Ozbiljno smo ugroženi ako jedan razvojni programer može kliknuti na phishing vezu i kompromitirati gotovo svaku značajnu aplikaciju u ekosustavu. Pročitajte tu rečenicu iznova i iznova dok ne shvatimo koliko je to apsurdno i neprihvatljivo - napisao je investitor i savjetnik Aftab Hossain (poznatiji kao DCInvestor) na X-u.
U međuvremenu, izdavatelj stablecoina Tether zamrznuo je sredstva povezana s novčanikom koji je eksploatator koristio da izvuče 484 tisuća dolara od korisnika DeFi-a u četvrtak, rekao je izvršni direktor Tethera Paolo Ardoino.
U trenutku pisanja ovog teksta novčanik je imao nešto više od 27 tisuća dolara vrijednih USDT-a i ukupno 334.814 ukupnih sredstava. U jednom trenutku u novčaniku je bilo čak 484 tisuća dolara. Podaci pokazuju da je novčanik prebacivao sredstva na onaj koji je povezan s Angel Drainerom. Sumnja se da je skupina za krađu identiteta bila uključena u niz drugih hakiranja DeFi-ja.
Draineri rade tako da uvjere korisnike da odobre transakciju koja hakeru tajno daje pristup drugim sredstvima u njihovom novčaniku. Sami draineri, koji imaju svakakva kreativna imena, iznajmljuju se hakerskim grupama, a izvorni programeri najčešće uzimaju dio nezakonite dobiti.