Ledger는 선주문 고객에게 Ledger Stax 하드웨어 지갑을 제공하기 시작했습니다.
Ledger는 초기 출시 날짜가 지연된 후 1년 이상 전에 사전 주문한 고객에게 새로운 Ledger Stax 하드웨어 지갑을 배송하기 시작했습니다. 2022년 12월 6일 Web3 개발자 컨퍼런스 Ledger Op3n에서 Ledger는 iPod의 발명가인 Tony Fadell과 협력하여 Ledger Stax라는 새로운 하드웨어 지갑을 개발했다고 밝혔습니다. 그러나 약속한 대로 제품이 배송되지 않았습니다.
Ledger: 2024년 6월 이전에는 사용자가 블라인드 서명을 위해 Ledger 장치를 더 이상 사용하는 것을 허용하지 않기로 결정했습니다.
Ledger는 지난주 대규모 보안 사고에서 약 60만 달러의 자산이 영향을 받았으며 EVM DApp에 맹목적으로 서명한 사용자로부터 도난당했다고 소셜 미디어에 게시했습니다. Ledger는 영향을 받은 개인(Ledger가 아닌 사용자 포함)이 2024년 2월 말 이전에 자금을 복구할 수 있도록 최선을 다할 것이며 DApp 생태계와 협력하여 Clear Signing을 허용하기로 약속했습니다. 현재는 더 이상 사용을 허용하지 않기로 결정했습니다. 2024년 6월 이전 Ledger의 장치는 Blind Signing을 수행합니다.
원장 : 피싱, 사기 조심하세요, 공식 계정은 단 2개 뿐입니다
원장 관계자는 계속되는 피싱 및 사기에 주의하라고 밝혔습니다. Ledger에는 @ledger와 @ledger_support라는 두 개의 실제 소셜 미디어 계정만 있습니다. 나머지는 가짜 계정이고, 당신에게 비밀 24단어 복구 문구를 요구하는 사람은 누구나 범죄자입니다.
Ledger Connect Kit 해킹의 미스터리
SlowMist 보안팀의 정보에 따르면 베이징 시간으로 2023년 12월 14일 저녁에 Ledger Connect Kit는 공급망 공격을 받았으며 공격자는 최소 US$600,000를 얻었습니다. SlowMist 보안팀은 즉시 분석에 개입하여 조기 경고를 발령했습니다.
슬로우 미스트 코사인: Ledger 악성 코드를 제거하기 위해 브라우저 캐시를 지우는 것이 좋습니다.
Slow Mist의 창립자인 Yu Xian은 Ledger 취약점에 대해 소셜 미디어에 게시했습니다: 1. Ledger 모듈 ledgerhq/connect-kit이 중독되는 문제는 기본적으로 완화되었지만 중독된 코드가 여전히 브라우저에 캐시될 수 있습니다. 확실하지 않으니 브라우저 캐시를 반드시 삭제하세요(사용하고 있는 지갑 앱의 내장 브라우저 캐시 포함) 2. 사용자는 서명을 위해 지갑 내 모든 거래를 다시 확인해야 합니다 3. Ledger 지갑 4. 이 공급망 공격 세부 사항은 매우 흥미롭고 이 어두운 숲에서는 이러한 사냥꾼이 드물지 않습니다 5. Tether는 제때에 조치를 취하고 USDT 낚시 수익을 동결시켰습니다. 이에 비해 USDC는 무시된 상태로 남아 있습니다. 여전히.
Ledger 보안 결함으로 인해 여러 Ethereum 애플리케이션에 대한 공격이 발생함
Zapper, SushiSwap, Phantom, Balancer 및 Revoke.cash를 포함한 여러 Ethereum 기반 애플리케이션이 Ledger의 보안 결함으로 인해 목요일 일찍 공격을 받았습니다. 이 공격은 Ledger Connect Kit에 대한 공급망 공격으로 인해 발생했습니다. 얼마나 많은 탈중앙화 애플리케이션(dapp)이 영향을 받았는지, 얼마나 많은 돈이 손실되었는지는 확실하지 않습니다. Sushi의 CTO인 Matthew Lilley는 트위터에 “추가 공지가 있을 때까지 어떤 dApp과도 상호 작용하지 마십시오.”라고 썼습니다.
해커 공격으로 DeFi 프로토콜 손상, Ledger Connect Kit에 악성코드 주입 피해 484,000달러 도난
해커들은 암호화폐 지갑 회사인 Ledger가 관리하는 널리 사용되는 블록체인 소프트웨어인 Connect Kit의 Github 저장소에 악성 코드를 삽입한 후 목요일에 484,000달러를 훔쳤습니다. 라이브러리를 사용하는 여러 주요 탈중앙화 금융(DeFi) 프로토콜이 영향을 받으며 사용자는 이러한 프로토콜이 업데이트될 때까지 탈중앙화 애플리케이션(dApp)을 사용하지 말라는 경고를 받습니다. Ledger의 Connect Kit는 DeFi 프로토콜을 암호화 하드웨어 지갑에 연결할 수 있는 코드 조각입니다. 이 취약점은 Sushi, Lido, Metamask, Coinbase 등 Connect Kit를 사용하는 모든 프로토콜의 프런트 엔드에 잠재적으로 영향을 미칩니다. Ledger는 자체 코드를 업데이트했지만 Ledger의 Connect Kit를 사용하는 모든 프로토콜은 위험을 완전히 완화하기 위해 라이브러리 버전을 수동으로 업데이트해야 합니다.
안전함: Ledger Connect 취약점이 해결되었습니다. 보안은 손상되지 않습니다
Ledger Connect 취약점이 해결되었음을 X 플랫폼에 게시한 Safe(이전 Gnosis Safe). 보안은 손상되지 않았습니다. 금고는 이 취약점의 영향을 받지 않습니다. 보안 앱 및 WalletConnect 기능이 복원되었으며, 보안 강화를 위해 공격자의 계정을 UI에 표시하고 표시했습니다.
Scopescan: Ledger 공격자가 자금을 이동하고 있으며 약 150,000달러가 이체되었습니다.
Scopescan은 X 플랫폼에서 Ledger 공격자가 자금을 새로운 주소로 이체하고 USDC를 ETH로 교환하고 있다고 밝혔습니다. 현재까지 약 150,000달러의 자산이 이전되었습니다. 이전에 이 주소는 ChangeNOW 플랫폼에서 일부 ETH 혼합을 테스트하려고 시도했습니다.
Ledger: 정품 및 검증된 Ledger Connect Kit 버전 1.1.8을 이제 안전하게 사용할 수 있습니다.
Ledger는 X 플랫폼에 대한 최신 취약성 업데이트를 출시하여 검증된 정품 Ledger Connect Kit 버전 1.1.8이 이제 확산되었으며 사용하기에 안전하다는 것을 나타냅니다. Ledger Connect Kit 코드를 개발하고 상호 작용하는 빌더의 경우: NPM 프로젝트의 연결 키트 개발 팀은 이제 읽기 전용이며 보안상의 이유로 NPM 패키지를 직접 푸시할 수 없습니다. 또한 악성 코드는 악성 WalletConnect 프로젝트를 사용하여 해킹된 지갑으로 자금을 재전송했습니다. - Ledger의 기술 및 보안 팀은 Ledger가 이를 인지한 지 40분 이내에 경고를 받고 수정 사항을 배포했습니다. 악성 파일은 약 5시간 동안 생존했지만 자금이 고갈되는 기간은 2시간 미만으로 제한되었습니다. 팀은 공격자를 찾기 위해 불만을 제기하고 법 집행 기관과 협력하여 조사하고 있으며 추가 공격을 피하기 위해 취약점을 조사하고 있습니다.
