In un’altra significativa violazione della sicurezza, agenti dannosi sconosciuti hanno preso di mira Ledger, il popolare fornitore di portafogli hardware, con l’obiettivo di sfruttare il loro kit LedgerConnect. Blockaid, una piattaforma che mira a proteggere gli utenti web3, è stata la prima a denunciare l'attacco.
Il connettore del registro degli attacchi mirati alla catena di fornitura
Portandosi su X il 14 dicembre, Blockaid ha affermato che gli aggressori sono riusciti a iniettare con successo un "carico utile che prosciuga portafoglio" nel pacchetto NPM. Una volta che il carico utile si è propagato, gli aggressori hanno preso il controllo del front-end di diverse app, tra cui Sushi, Hey e Zapper, paralizzando le operazioni e, secondo quanto riferito, sottraendo risorse per centinaia di migliaia di dollari.
L'attacco non ha preso di mira alcuna dapp o blockchain come Solana o Ethereum, ad esempio. Gli hacker volevano invece sfruttare tutti i protocolli i cui utenti, in un modo o nell’altro, utilizzavano il kit LedgerConnect per gestire o trasferire risorse.
Per capire come è stato eseguito l'hacking, gli hacker hanno preso di mira espressamente l'NPM di Ledger. Il connettore è fondamentale per il modo in cui i clienti del portafoglio Ledger fuori catena possono connettersi e gestire in modo sicuro le proprie risorse online.
Oltre a fornire un mezzo per accedere ai portafogli, NPM è anche un’interfaccia. Attraverso questo portale, gli sviluppatori possono integrare i portafogli hardware Ledger nelle app. In questo caso, gli utenti di Ledger possono impegnarsi in modo sicuro in token non fungibili (NFT), finanza decentralizzata (DeFi) e altre attività.
Poiché questo attacco mirava a sfruttare un'infrastruttura Ledger critica che avrebbe potuto avere un impatto su tutti i protocolli indipendentemente dalla blockchain, gli analisti ora affermano che questi agenti hanno eseguito con successo un "attacco alla catena di fornitura". Negli attacchi alla catena di fornitura sui protocolli DeFi, gli hacker possono prendere di mira un fornitore di servizi fidato, principalmente un fornitore di portafogli o un exchange, per rubare fondi.
Risponde Ledger, oltre $ 480.000 rubati
Il capo della ricerca di Wintermute, Igor Igamberdiev, ha riferito che uno script infetto da malware è stato caricato nel registro NPM di Ledger alle 9:44 UTC. Tuttavia, Ledger ha risposto , affermando di aver eliminato il file dannoso e di averlo sostituito con una versione autentica circa quattro ore dopo il caricamento dello script, intorno alle 13:35 UTC.
Ledger ha inoltre ricordato agli utenti di essere attenti prima di autorizzare le proprie transazioni, sottolineando che tutti gli indirizzi e le informazioni visualizzate sulla loro interfaccia sono le "uniche fonti di informazione affidabili". In precedenza, il produttore dell’hardware assicurava ai clienti che i loro dispositivi non erano stati compromessi.
Nonostante queste assicurazioni, Lookonchain, una piattaforma di analisi blockchain, ha affermato che sono stati rubati asset per un valore di oltre 480.000 dollari prima che Ledger correggesse l'errore.
Per rafforzare ulteriormente la dichiarazione di ZachXBT, Paolo Ardoino, CEO di Tether, l'emittente USDT, si è rivolto a X, affermando che la piattaforma aveva bloccato l'indirizzo del Ledger Exploiter.