レジャーコネクターを利用する複数の分散型アプリケーション(DApp)のフロントエンドにセキュリティ侵害が発生した。被害を受けたDAppsには、Zapper、SushiSwap、Phantom、Balancer、Revoke.cashなどが含まれる。
セキュリティ侵害が発覚してから約3時間後の12月14日午後1時35分(UTC時間)、レジャーは悪意のあるバージョンのファイルを正規のバージョンに置き換えたと発表した。
レジャーはユーザーに対し、「常にClear Signで取引を行う」ことを警告し、Ledger画面に表示されるアドレスと情報のみが正当な情報であると述べた。また、「レジャーデバイスの画面とコンピューター/スマートフォンの画面に違いがある場合は、その取引を直ちに停止してほしい」と述べた。
セキュリティ侵害を最初に報告したのは、SushiSwapの最高技術責任者(CTO)のMatthew Lilley氏。Lilley氏は、一般に使用されているWeb3コネクターが侵害され、悪意のあるコードが多数のドメインに注入されたと指摘した。Lilley氏によると、レジャーライブラリーは、脆弱なコードがドレーナー・アカウント・アドレスを挿入する侵害を確認したという。
RED ALERT :
— I'm Software (@MatthewLilley) December 14, 2023
Do not interact with ANY dApps until further notice. It appears that a commonly used web3 connector has been compromised which allows for injection of malicious code affecting numerous dApps.
Lilley氏は、複数のDAppsで進行中の脆弱性と侵害についてレジャー社を非難。レジャーのコンテンツ配信ネットワークが侵害され、侵害されたネットワークからJavaScriptがロードされたと主張した。
seems like the Ledger's @ledgerhq/connect-kit npm package was hacked, the latest publish was 2 hours ago. https://t.co/jFb6CThljS pic.twitter.com/AsbA675D9Q
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) December 14, 2023
レジャーコネクターは多くのDAppsで使用されているライブラリで、Ledgerによってメンテナンスされている。ウォレットドレイナーが追加されたため、ユーザーのアカウントからアセットを流出させることはそれ自体では起こらない。しかし、メタマスクのようなブラウザウォレットからのプロンプトが表示され、悪意のある攻撃者がアセットにアクセスできるようになる可能性がある。
Lilley氏は、レジャーコネクターを使用するすべてのDAppsを避けるようユーザーに警告。「connect-kit」も脆弱であり、これは単一の孤立した攻撃ではなく、複数のDAppsを対象とした大規模な攻撃であると述べた。
The vulnerability with Ledger Connect Kit should be resolved now
— Phantom (@phantom) December 14, 2023
This appears to have been an EVM-only exploit, but we can confirm Phantom users on dapps with compromised front-ends would have seen the proper warnings in our transaction preview.
ポリゴンラボのバイスプレジデントであるHudson Jameson氏は、レジャーがライブラリの不良コードを修正した後でも、ライブラリを使用および展開しているプロジェクトは、レジャーのWeb3ライブラリを使用するDAppsを使用する前に更新する必要があるだろうと述べた。
looks like $610K+ drained
— ZachXBT (@zachxbt) December 14, 2023
drainer customer
0x658729879fca881d9526480b82ae00efc54b5c2d
drainer fee address
0x412f10AAd96fD78da6736387e2C84931Ac20313f pic.twitter.com/Rld2BsKNDo
Blockaidの共同創設者兼CEOであるIdo Ben-Natan氏は、コインテレグラフに対し、次のように述べた。
「レジャーユーザーは、取引を行わない限り、リスクにさらされていない。事前の承認で悪用することはできない。特にRevoke.cashが影響を受けているので、そことやり取りしないように。影響を受けた資金の数は、過去2時間で数十万ドル。多くのウェブサイトがまだ影響を受けており、ユーザーが被害を受けている」
レジャーは、コードの脆弱性を認め、悪意のあるバージョンのLedger Connect Kitを削除したと述べた。また、「正規のバージョンが現在、悪意のあるファイルを置き換えるためにプッシュされている」と指摘した。
We have identified and removed a malicious version of the Ledger Connect Kit.
— Ledger (@Ledger) December 14, 2023
A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.
Your Ledger device and…