O hacker da Ledger que desviou pelo menos US$ 484 mil de vários aplicativos Web3 em 14 de dezembro fez isso enganando os usuários para que fizessem aprovações de tokens maliciosos, de acordo com a equipe por trás da plataforma de segurança blockchain Cyvers.
De acordo com declarações públicas feitas por várias partes envolvidas, o hack ocorreu na manhã de 14 de dezembro. O invasor usou uma exploração de phishing para comprometer o computador de um ex-funcionário da Ledger, obtendo acesso à conta JavaScript (NPMJS) do gerenciador de pacotes de nós do funcionário. .
Identificamos e removemos uma versão maliciosa do Ledger Connect Kit.
Uma versão genuína está sendo enviada para substituir o arquivo malicioso agora. Não interaja com nenhum dApps no momento. Manteremos você informado à medida que a situação evoluir.
Seu dispositivo Ledger e…
– Ledger (@Ledger) 14 de dezembro de 2023
Assim que obtiveram acesso, eles carregaram uma atualização maliciosa no repositório GitHub do Ledger Connect. Ledger Connect é um pacote comumente usado para aplicativos Web3.
Alguns aplicativos Web3 foram atualizados para a nova versão, fazendo com que seus aplicativos distribuíssem o código malicioso aos navegadores dos usuários. Os aplicativos Web3 Zapper, SushiSwap, Phantom, Balancer e Revoke.cash foram infectados com o código.
Como resultado, o invasor conseguiu desviar pelo menos US$ 484 mil dos usuários desses aplicativos. Outros aplicativos também podem ser afetados, e especialistas alertaram que a vulnerabilidade pode afetar todo o ecossistema da Máquina Virtual Ethereum (EVM).
Como isso poderia ter acontecido
Falando ao Cointelegraph, o CEO da Cyvers, Deddy Lavid, o diretor de tecnologia Meir Dolev e o analista de blockchain Hakal Unal lançaram mais luz sobre como o ataque pode ter ocorrido.
Segundo eles, o invasor provavelmente usou código malicioso para exibir dados confusos de transações na carteira do usuário, levando o usuário a aprovar transações que não pretendia.
Quando os desenvolvedores criam aplicativos Web3, eles usam “kits de conexão” de código aberto para permitir que seus aplicativos se conectem às carteiras dos usuários, afirmou Dolev. Esses kits são pedaços de código que podem ser instalados em vários aplicativos, permitindo que eles lidem com o processo de conexão sem a necessidade de perder tempo escrevendo código. O Connect Kit da Ledger é uma das opções disponíveis para realizar esta tarefa.
Parece que o incidente de segurança de hoje foi o culminar de três falhas distintas na Ledger:
1. Carregar código cegamente sem fixar uma versão e soma de verificação específicas.2. Não aplicar “regras de 2 homens” em torno da revisão e implantação de código.3. Não revogar o acesso de ex-funcionários.
-Jameson Lopp (@lopp) 14 de dezembro de 2023
Quando um desenvolvedor escreve seu aplicativo pela primeira vez, ele geralmente instala um kit de conexão por meio de um gerenciador de pacotes de nó. Depois de criar uma compilação e carregá-la no site, o aplicativo conterá o kit de conexão como parte do código, que será baixado no navegador do usuário sempre que ele visitar o site.
De acordo com a equipe Cyvers, o código malicioso inserido no Ledger Connect Kit provavelmente permitiu ao invasor alterar as transações enviadas para a carteira do usuário. Por exemplo, como parte do processo de uso de um aplicativo, um usuário geralmente precisa emitir aprovações para contratos de tokens, permitindo que o aplicativo gaste tokens da carteira do usuário.
O código malicioso pode ter feito com que a carteira do usuário exibisse uma solicitação de confirmação de aprovação do token, mas com o endereço do invasor listado em vez do endereço do aplicativo. Ou pode ter causado o aparecimento de uma confirmação de carteira que consistiria em um código difícil de interpretar, fazendo com que o usuário pressionasse “confirmar” de maneira confusa, sem entender com o que estava concordando.
Os dados do Blockchain mostram que as vítimas do ataque deram aprovações de tokens muito grandes ao contrato malicioso. Por exemplo, o invasor drenou mais de US$ 10.000 do endereço Ethereum 0xAE49C1ad3cf1654C1B22a6Ee38dD5Bc4ae08fEF7 em uma transação. O log desta transação mostra que o usuário aprovou uma grande quantidade de USD Coin (USDC) para ser gasta pelo contrato malicioso.
Essa aprovação provavelmente foi realizada erroneamente pelo usuário por causa do código malicioso, disse a equipe Cyvers. Eles alertaram que evitar esse tipo de ataque é extremamente difícil, pois as carteiras nem sempre fornecem aos usuários informações claras sobre o que estão concordando. Uma prática de segurança que pode ajudar é avaliar cuidadosamente cada mensagem de confirmação de transação que aparece durante o uso de um aplicativo. No entanto, isso pode não ajudar se a transação for exibida em um código que não seja facilmente legível ou confuso.
Relacionado: Executivo da ConsenSys sobre segurança MetaMask Snaps: ‘O consentimento é rei’
Cyvers afirmou que sua plataforma permite que as empresas verifiquem endereços de contratos e determinem se esses endereços estiveram envolvidos em incidentes de segurança. Por exemplo, a conta que criou os contratos inteligentes utilizados neste ataque foi detectada pela Cyvers como tendo estado envolvida em 180 incidentes de segurança.
Embora as ferramentas Web3 no futuro possam permitir que ataques como esses sejam detectados e frustrados com antecedência, a indústria ainda tem “um longo caminho a percorrer” para resolver esse problema, disse a equipe ao Cointelegraph.
