Wie ein einzelner Phishing-Link Chaos in der Krypto-Community auslöste

Der Hersteller von Krypto-Hardware-Wallets Ledger hat einen Exploit im System bestätigt, der dazu führte, dass Personen in der Krypto-Community Nutzer warnten, die Nutzung von dezentralen Anwendungen (dapps) einzustellen, da ein ehemaliger Ledger-Mitarbeiter Opfer eines Phishing-Betrugs wurde.

Der Name und die E-Mail-Adresse des ehemaligen Mitarbeiters erschienen im kompromittierten Code. Zunächst interpretierte die Krypto-Community dies so, dass der Programmierer für den Exploit verantwortlich war, aber Ledger bestätigte später, dass der Angriff begann, weil der ehemalige Ledger-Mitarbeiter Opfer eines Phishing-Angriffs wurde.

Der Angreifer konnte auf das NPMJS-Konto des ehemaligen Mitarbeiters zugreifen, dem Paketmanager für die Programmiersprache JavaScript. Pakete sind Bibliotheken, die Entwickler verwenden können, um Projekte zu erstellen, anstatt alles von Grund auf neu zu codieren. In der Web3-Community verwenden Entwickler Pakete, um ihre dezentralen Anwendungen von verschiedenen Wallets aus zugänglich zu machen.

Nachdem der Ausbeuter Zugriff auf NPMJS erlangt hatte, fügte er eine bösartige Version des Ledger Connect Kits ein. Jedes Projekt, das das Connect Kit verwendet, würde bösartigen Code enthalten, der Benutzerfonds in die Wallet eines Hackers umleiten könnte. Die betroffenen Versionen des Connect Kits sind 1.1.5, 1.1.6 und 1.1.7, die alle seitdem von Ledgers NPM-Seite entfernt wurden.

– Ledgers Technologie- und Sicherheitsteams wurden alarmiert, und innerhalb von 40 Minuten nach Bekanntwerden von Ledger wurde ein Fix implementiert. Die bösartige Datei war etwa 5 Stunden aktiv, aber wir glauben, dass der Zeitraum, in dem Gelder gestohlen wurden, auf weniger als zwei Stunden beschränkt war – sagten Ledger-Vertreter.

Ledger gibt jetzt an, dass es eine neue Version des Connect Kits (1.1.8) veröffentlicht hat und dass alle Wallets, die es verwenden, automatisch aktualisiert werden. Nutzer werden jedoch geraten, 24 Stunden zu warten, bevor sie die Nutzung dezentraler Anwendungen wieder aufnehmen.

– Eine große Anzahl von Repositories ausschließlich auf GitHub, die auf connect-kit-loader angewiesen sind, deutet darauf hin, dass der Schaden, der der Krypto-Lieferkette zugefügt wurde, erheblich sein könnte, es sei denn, Entwickler, die dieses Paket verwenden, praktizieren ordentliche Hygiene – sagte Ilkka Turunen, technischer Direktor für Cybersicherheit bei Sonatype.

Der Exploit hat in der Branche erhebliche Panik ausgelöst.

– Wir sind ernsthaft kompromittiert, wenn ein einzelner Entwickler auf einen Phishing-Link klicken und nahezu jede bedeutende Anwendung im Ökosystem gefährden kann. Lesen Sie diesen Satz immer wieder, bis wir verstehen, wie absurd und inakzeptabel das ist – schrieb Investor und Berater Aftab Hossain (besser bekannt als DCInvestor) auf X.

In der Zwischenzeit hat der Emittent des Stablecoins Tether Gelder eingefroren, die mit der Wallet verbunden sind, die der Ausbeuter verwendet hat, um am Donnerstag $484,000 von DeFi-Nutzern abzuzweigen, sagte Tether-CEO Paolo Ardoino.

Zum Zeitpunkt des Schreibens hatte die Wallet etwas mehr als 27.000 USDT und insgesamt 334.814 US-Dollar an Vermögenswerten. Zu einem bestimmten Zeitpunkt hielt die Wallet sogar 484.000 US-Dollar. Daten zeigen, dass die Wallet Gelder an eine mit einem Angel Drainer verbundene Wallet übertrug. Es wird vermutet, dass eine Identitätsdiebstahlgruppe an einer Reihe anderer DeFi-Hacks beteiligt war.

Drainer operieren, indem sie Nutzer überzeugen, eine Transaktion zu genehmigen, die dem Hacker heimlich Zugang zu anderen Geldern in ihrer Wallet gewährt. Die Drainer selbst, die alle möglichen kreativen Namen haben, werden an Hackergruppen vermietet, und die ursprünglichen Entwickler nehmen oft einen Anteil an den illegalen Gewinnen.