- Ledger dengan cepat menyelesaikan kerentanan yang memengaruhi beberapa dApps, termasuk SushiSwap dan Revoke.cash, dengan memperkuat keamanan pada platform-nya.
- Pelanggaran keamanan di perpustakaan konektor Ledger menggarisbawahi pentingnya kewaspadaan konstan dalam ekosistem kripto.
Pada pagi hari tanggal 14 Desember, seorang mantan karyawan Ledger mengalami serangan phishing yang memungkinkan peretas mengakses akun NPMJS-nya. Peretas memposting versi berbahaya dari Ledger Connect Kit, yang memengaruhi versi 1.1.5, 1.1.6 dan 1.1.7.
Kode berbahaya tersebut menggunakan proyek WalletConnect palsu untuk mengalihkan dana ke dompet penyerang. Ledger, yang menyadari masalah tersebut, bereaksi dengan cepat dan berhasil menerapkan patch hanya dalam waktu 40 menit.
Namun, file berbahaya tersebut aktif selama kurang lebih 5 jam, dengan periode penyalahgunaan dana setidaknya selama dua jam.
Kerentanan perpustakaan ini memengaruhi beberapa aplikasi terdesentralisasi (dApps), termasuk SushiSwap dan Revoke.cash.
Cakupan Kerentanan
Cacat keamanan memengaruhi front end beberapa dApps yang menggunakan konektor Ledger, seperti Zapper, Phantom, Balancer dan Revoke.cash. Masalah ini terdeteksi dan dilaporkan pada 14 Desember.
⚠️⚠️⚠️⚠️⚠️⚠️
Warning: Multiple popular crypto applications that integrate with Ledger's ConnectKit library, including https://t.co/MkINKOiX5N have been compromised. We temporarily took the website offline as we're investigating further. We recommend not using *any* crypto website…— Revoke.cash (@RevokeCash) December 14, 2023
Ledger bertindak cepat dan, sekitar tiga jam setelah ditemukannya pelanggaran tersebut, mengganti versi file yang berbahaya dengan versi otentiknya sekitar pukul 13:35 UTC.
Pelaporan dan Analisis Insiden
CTO SushiSwap Matthew Lilley, adalah salah satu orang pertama yang melaporkan masalah ini. Dia menyadari bahwa konektor Web3 yang umum digunakan telah disusupi, memungkinkan kode berbahaya disuntikkan ke banyak dApps. Menurut analisis, perpustakaan Ledger mengkonfirmasi adanya penyusupan tersebut, di mana kode yang rentan menyisipkan alamat akun drain.
What happened?
In short, @Ledger made a chain of terrible blunders.
1. They are loading JS from a CDN.
2. They are not version locking loaded JS.
3. They had their CDN compromised.I would avoid using ANY dApps until their teams confirm that they have mitigated the attack. https://t.co/a3brXNQSx9
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
Perhatian untuk Pengguna Ledger
Konektor Ledger adalah sebuah library yang digunakan oleh banyak DApps dan dikelola oleh Ledger. Meskipun penambahan wallet drainer tidak selalu mengakibatkan hilangnya aset secara otomatis, namun hal ini dapat memungkinkan aktor jahat untuk mengakses aset ini melalui permintaan wallet browser seperti MetaMask.
ANY dApp which makes use of LedgerHQ/connect-kit is vulnerable. Don't use ANY dApps until further notice. This isn't a single isolated attack, it's a large-scale attack on multiple dApps. https://t.co/a3brXNQSx9
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
Lilley memperingatkan pengguna untuk menghindari dApps yang menggunakan konektor Ledger dan mencatat bahwa connect-kit juga rentan. Dia menekankan bahwa ini bukan serangan yang terisolasi, tetapi serangan berskala besar yang memengaruhi banyak dApps.
Pernyataan Pakar dan Solusi yang Diusulkan
Hudson Jameson, wakil presiden Polygon Labs, menyebutkan bahwa bahkan setelah Ledger memperbaiki kode yang cacat di perpustakaannya, proyek yang menggunakan dan mengimplementasikannya perlu memperbaruinya sebelum aman untuk menggunakan dApps yang menggunakan perpustakaan Web3 Ledger.
Ledger Library Exploit Explainer for Average Folks
What is going on with the recent alerts not to use dapps?
A library that is used by many dapps that is maintained by Ledger was compromised and a wallet drainer was added.
What do I do as a normal user?
Do not interact with… https://t.co/exre0QfykD
— Hudson Jameson (@hudsonjameson) December 14, 2023
Salah satu Pendiri dan CEO Blockaid Ido Ben-Natan menyarankan pengguna Ledger bahwa mereka tidak berisiko jika mereka tidak bertransaksi dan tidak dapat dieksploitasi dalam persetujuan awal.
Dia secara khusus mencatat bahwa Revoke.cash terpengaruh dan merekomendasikan untuk tidak berinteraksi dengannya. Dia menyebutkan bahwa jumlah dana yang terkena dampak mencapai ratusan ribu dolar dalam dua jam terakhir dan banyak situs web yang masih terpengaruh.
Kolaborasi untuk Mengatasi Krisis
Ledger bekerja sama dengan WalletConnect, yang dengan cepat menonaktifkan proyek penipuan tersebut. Versi otentik dan aman dari kit Ledger Connect, versi 1.1.8, sekarang tersedia untuk digunakan.
Langkah-langkah Keamanan Tambahan
Sebagai langkah keamanan tambahan, tim pengembangan Connect kit dalam proyek NPM sekarang bersifat read-only, yang berarti bahwa mereka tidak dapat secara langsung mengirim paket NPM. Ledger juga telah mengubah rahasia penerbitan di GitHub. Para pengembang dihimbau untuk memeriksa dan menggunakan versi terbaru, 1.1.8.
Ucapan Terima Kasih dan Fokus pada Keamanan
Ledger berterima kasih kepada WalletConnect, Tether, Chainalysis, Zachxbt, dan seluruh komunitas atas bantuan dan dukungan mereka yang cepat dalam mengidentifikasi dan menyelesaikan serangan tersebut. Perusahaan menegaskan kembali komitmennya terhadap keamanan dan menekankan bahwa mereka akan menang dengan bantuan seluruh ekosistem.
Pentingnya Keamanan dalam Ekosistem Kripto
Insiden ini menjadi pengingat penting tentang pentingnya keamanan dalam ekosistem kripto. Respon cepat Ledger dan kolaborasi komunitas kripto menunjukkan ketahanan dan kemampuan beradaptasi dalam menghadapi ancaman keamanan.
Namun, hal ini juga menggarisbawahi perlunya kewaspadaan dan kehati-hatian dari pihak pengguna ketika berinteraksi dengan dApps dan bertransaksi dalam kripto. Dengan meningkatnya minat dan adopsi kripto, memastikan keamanan dan kepercayaan pengguna tetap menjadi pilar utama untuk pengembangan ekosistem kripto yang berkelanjutan.
