작성자: Lisa & Shan @ Slow Mist 보안팀

SlowMist 보안팀의 정보에 따르면 베이징 시간으로 2023년 12월 14일 저녁에 Ledger Connect Kit는 공급망 공격을 받았으며 공격자는 최소 US$600,000의 이익을 얻었습니다.

SlowMist 보안팀은 즉시 분석에 개입하여 조기 경고를 발령했습니다.

SlowMist 보안팀의 정보에 따르면 베이징 시간으로 2023년 12월 14일 저녁에 Ledger Connect Kit는 공급망 공격을 받았으며 공격자는 최소 US$600,000의 이익을 얻었습니다.

SlowMist 보안팀은 즉시 분석에 개입하여 조기 경고를 발령했습니다.

현재 해당 사건은 공식적으로 해결되었으며, 슬로우미스트 보안팀에서는 다음과 같은 긴급 상황 정보를 공유합니다.

타임라인

오후 7시 43분, 트위터 사용자 @g4sarah는 DeFi 자산 관리 프로토콜 Zapper의 프런트 엔드가 하이재킹된 것으로 의심된다고 밝혔습니다.

오후 8시 30분, Sushi 최고 기술 책임자(CTO) Matthew Lilley는 트위터에 다음과 같은 경고를 발표했습니다. "사용자는 추후 공지가 있을 때까지 어떤 dApp과도 상호 작용하지 말 것을 요청합니다. 일반적으로 사용되는 Web3 커넥터(web3-react 프로젝트의 일부인 JavaScript 라이브러리) 다수의 dApp에 영향을 미치는 악성 코드를 주입할 수 있도록 손상된 것으로 의심됩니다." 나중에 Ledger에 의심스러운 코드가 있을 수 있다고 밝혔습니다. SlowMist 보안팀은 즉시 이 사건을 추적하고 분석하고 있다고 밝혔습니다.

오후 8시 56분에 Revoke.cash는 다음과 같이 트윗했습니다. "Revoke.cash를 포함하여 Ledger Connect Kit 라이브러리와 통합된 여러 공통 암호화 애플리케이션이 손상되었습니다. 사이트를 일시적으로 폐쇄했습니다. 취약점을 수정하는 것이 좋습니다. 어떤 것도 사용하지 마십시오. 이후 크로스체인 DEX 프로젝트인 카이버 네트워크(Kyber Network)도 주의 깊게 상황이 해결될 때까지 프런트엔드 UI를 비활성화했다고 밝혔습니다.

오후 9시 31분에 Ledger는 다음과 같은 알림도 발행했습니다. "우리는 Ledger Connect Kit의 악성 버전을 식별하고 제거했습니다. 이제 악성 파일을 대체하기 위해 정품 버전을 추진하고 있습니다. 당분간 어떤 dApp과도 상호 작용하지 마십시오. 새로운 상황이 발생하면 알려드리겠습니다. Ledger 기기와 Ledger Live는 손상되지 않았습니다."

오후 9시 32분에 MetaMask는 다음과 같은 알림도 발행했습니다. "사용자가 MetaMask 포트폴리오에서 거래를 수행하기 전에 MetaMask 확장 프로그램에서 Blockaid 기능이 활성화되어 있는지 확인하십시오."

공격 영향

SlowMist 보안팀은 즉시 관련 코드 분석에 착수했으며, 공격자가 @ledgerhq/connect-kit =1.1.5/1.1.6/1.1.7 버전에 악성 JS 코드를 이식하고 일반 코드를 Drainer 클래스로 직접 교체한 것을 발견했습니다. 윈도우 로직은 가짜 DrainerPopup 팝업창을 띄울 뿐만 아니라 다양한 자산의 전송 로직도 처리합니다. CDN 배포를 통한 암호화폐 사용자 피싱 공격.

영향을 받는 버전 범위:

@ledgerhq/connect-kit 1.1.5 (공격자는 코드에서 Inferno를 언급했는데, 아마도 다중 체인 사기를 전문으로 하는 피싱 그룹인 Inferno Drainer에 경의를 표하기 위한 것으로 추정됩니다)

@ledgerhq/connect-kit 1.1.6 (공격자는 코드에 메시지를 남기고 악성 JS 코드를 심었습니다)

@ledgerhq/connect-kit 1.1.7 (공격자는 코드에 메시지를 남기고 악성 JS 코드를 심었습니다)

Ledger는 Ledger 지갑 자체는 영향을 받지 않지만 Ledger Connect Kit 라이브러리를 통합하는 애플리케이션은 영향을 받는다고 밝혔습니다.

그러나 많은 애플리케이션은 Ledger Connect Kit(예: SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash 등)을 사용하며 그 영향은 더욱 커질 것입니다.

그러나 많은 애플리케이션은 Ledger Connect Kit(예: SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash 등)을 사용하며 그 영향은 더욱 커질 것입니다.

이 공격을 통해 공격자는 애플리케이션과 동일한 권한 수준으로 임의의 코드를 실행할 수 있습니다. 예를 들어, 공격자는 상호 작용 없이 즉시 사용자의 자금을 모두 빼낼 수 있고, 대량의 피싱 링크를 게시하여 사용자를 속일 수 있으며, 심지어 사용자의 패닉을 이용하여 사용자는 자산을 새로운 주소로 이전하려고 시도하지만, 가짜 지갑을 다운로드하여 자산 손실을 초래합니다.

기술 및 전술 분석

우리는 위 공격의 영향을 분석했으며, 과거의 긴급 상황 경험을 바탕으로 이것이 계획적인 사회 공학 피싱 공격일 수 있다고 추측했습니다.

@0xSentry의 트윗에 따르면, 공격자가 남긴 디지털 흔적 중 하나는 @JunichiSugiura(Jun, 전 Ledger 직원)의 Gmail 계정과 관련되어 있으며, 이는 손상되었을 수 있으며 Ledger는 해당 직원의 액세스 권한을 제거하는 것을 잊어버렸을 수 있습니다.

오후 11시 9분에 관계자들은 이 추측을 확인했습니다. 전 Ledger 직원이 피싱 공격의 피해자가 되었습니다.

1) 공격자는 직원의 NPMJS 계정에 대한 액세스 권한을 얻었습니다.

2) 공격자는 Ledger Connect Kit의 악성 버전(1.1.5, 1.1.6 및 1.1.7)을 출시했습니다.

3) 공격자는 악성 WalletConnect를 이용하여 악성코드를 통해 해커의 지갑 주소로 자금을 이체합니다.

현재 Ledger는 확실하고 검증된 Ledger Connect Kit 버전 1.1.8을 출시했습니다. 제때에 업그레이드하시기 바랍니다.

Ledger npmjs의 중독된 버전이 삭제되었지만 jsDelivr에는 여전히 중독된 js 파일이 있습니다.

https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

CDN 요인으로 인해 지연이 발생할 수 있으므로 공식 권장 사항은 Ledger Connect Kit를 사용하기 전에 24시간을 기다리는 것입니다.

프로젝트 당사자가 타사 CDN을 사용하는 미러 소스를 게시하는 경우 악성 릴리스 및 후속 업데이트로 인한 피해를 방지하기 위해 관련 버전을 잠그는 것을 기억하는 것이 좋습니다. (@galenyuan의 제안)

현재 해당 관계자는 관련 제안을 수락했으며 다음 전략은 다음과 같이 변경될 것이라고 생각합니다.

Ledger 공식 최종 일정:

미스트트랙 분석

드레이너 고객: 0x658729879fca881d9526480b82ae00efc54b5c2d

드레이너 수수료 주소: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

MistTrack 분석에 따르면 공격자(0x658)는 최소 US$600,000를 벌어들였으며 피싱 그룹 Angel Drainer와 연관되어 있습니다.

Angel Drainer 갱단의 주요 공격 방법은 도메인 이름 서비스 제공업체와 직원을 대상으로 사회 공학적 공격을 수행하는 것입니다. 관심이 있으시면 클릭하여 Dark "Angel" - Angel Drainer 피싱 갱단의 폭로 내용을 읽어보실 수 있습니다.

Angel Drainer(0x412)는 현재 약 $363,000의 자산을 보유하고 있습니다.

SlowMist Threat Intelligence Network에 따르면 다음과 같은 결과가 나왔습니다.

1) IP 168.*.*.46, 185.*.*.167

2) 공격자는 일부 ETH를 XMR로 교환했습니다.

오후 11시 9분에 Tether는 Ledger 착취자의 주소를 동결했습니다. 또한 MistTrack은 관련 주소를 차단했으며 자금 변경 사항을 계속 모니터링할 예정입니다.

요약하다

이번 사건은 DeFi 보안이 단순한 계약 보안이 아닌 보안 전체에 관한 것임을 다시 한번 입증했습니다.

한편, 이번 사건은 공급망 보안 위반이 심각한 결과를 초래할 수 있음을 보여줍니다. 맬웨어 및 악성 코드는 개발 도구, 타사 라이브러리, 클라우드 서비스 및 업데이트 프로세스를 포함하여 소프트웨어 공급망의 다양한 지점에 심어질 수 있습니다. 이러한 악성 요소가 성공적으로 삽입되면 공격자는 이를 사용하여 암호화폐 자산과 민감한 사용자 정보를 훔치고, 시스템 기능을 방해하고, 기업을 협박하거나, 악성 코드를 대규모로 확산시킬 수 있습니다.

반면, 공격자는 사회 공학 공격을 통해 사용자의 개인 신원 정보, 계정 자격 증명, 비밀번호 및 기타 민감한 정보를 얻을 수 있으며, 사기성 이메일, 문자 메시지 또는 전화 통화를 사용하여 사용자가 악성 링크를 클릭하거나 다운로드하도록 유도할 수도 있습니다. 악성 파일. 사용자는 문자, 숫자, 기호의 조합을 포함하는 강력한 비밀번호를 사용하고, 비밀번호를 정기적으로 변경하여 공격자가 추측하거나 사회 공학 기술을 사용하여 비밀번호를 얻을 가능성을 최소화하는 것이 좋습니다. 동시에, 추가적인 인증요소(예: SMS 인증번호, 지문인식 등)를 활용해 계정의 보안을 강화하고, 이러한 유형의 공격에 대한 예방 능력을 향상시키기 위해 다중 인증을 구현합니다.

SlowMist 보안팀이 발표한 "Web3 프로젝트 보안 실무 요구사항"과 "Web3 산업 공급망 보안 가이드"는 Web3 프로젝트 당사자가 전반적인 보안 조치에 주의를 기울이도록 안내하고 상기시키기 위해 설계되었습니다. SlowMist 보안팀이 구축한 MistEye 보안 모니터링 시스템은 계약 모니터링, 프런트엔드 및 백엔드 모니터링, 취약점 발견 및 조기 경고 등 전반적인 정보를 다루며, DeFi 프로젝트 전 과정의 보안에 중점을 둡니다. 이벤트 전, 도중, 후에 프로젝트 당사자는 위험을 통제하고 프로젝트 안전을 향상시키기 위해 MistEye 보안 모니터링 시스템을 사용할 수 있습니다.