一つの火花が山火事を引き起こすことがあるとよく言われます。この比喩はデジタルの世界でも当てはまり、単一のフィッシングリンクが暗号通貨の風景で混乱を引き起こしました、広範囲のパニックと不確実性を引き起こしました。犯人は? 暗号ウォレットメーカーLedgerの元従業員で、フィッシング詐欺に騙された人物です。
サイバー攻撃の解明
フィッシング詐欺は、元Ledgerの従業員の名前とメールアドレスが侵害されたコードに現れたことから始まりました。これにより、開発者がその攻撃の責任を負っているとの最初の憶測が生まれました。しかし、Ledgerは元従業員がフィッシング詐欺の犠牲者になったために攻撃が開始されたことを明らかにしました。
元従業員のNPMJSアカウントにアクセスを得た後、JavaScriptプログラミング言語のパッケージ管理者である攻撃者は、大きな損害を与える立場にありました。開発者は、これらのパッケージやライブラリを使用してプロジェクトを構築し、分散型アプリ(dApps)を含むすべてをゼロからコーディングすることなく作成できます。
アクセスから悪用へ
攻撃者がNPMJSにアクセスを取得した後、Ledger Connect Kitの悪意のあるバージョンをプッシュしました。これは、Connect Kitを使用するプロジェクトは、ユーザーの資金をハッカーのウォレットにリダイレクトする可能性のある有害なコードを含んでいました。
影響を受けたConnect Kitのバージョンは1.1.5、1.1.6、および1.1.7であり、これらはすべてLedgerのNPMページから削除されました。悪意のあるファイルは約5時間生きていましたが、Ledgerは資金が流出した期間は2時間未満だと考えています。
事件後と回復
事件後、LedgerはConnect Kitの新しいバージョン(1.1.8)をプッシュし、それを使用するすべてのウォレットが自動的に更新されると述べました。ただし、彼らはユーザーに対して、dAppに接続しようとする前に24時間待つように勧告しました。
サイバーセキュリティ企業SonatypeのフィールドCTOであるIlkka Turunenは、connect-kit-loaderに依存するGitHubの膨大なリポジトリの潜在的な被害の規模を強調し、開発者がこのようなパッケージを使用する際に適切なハイジニックを行使する重要性を指摘しました。
この事件は業界内でかなりの不安を引き起こしました。投資家兼アドバイザーのAftab Hossainは、X(以前はTwitter)で懸念を表明し、1人の開発者がフィッシングリンクをクリックするだけで、ほぼすべての重要なアプリのフロントエンドが危険にさらされる可能性があると述べました。
一方、ステーブルコイン発行会社であるTetherは、DeFiユーザーから48.4万ドルを流出させたウォレットにリンクされた資金を凍結しました。Angel Drainerとして知られるフィッシンググループにリンクされたウォレットは、他のいくつかのDeFiハックに関与していました。
私たちが暗号通貨の複雑な世界を航行する際、cryptoview.ioのようなツールは私たちが情報を得て安全を確保するのに役立ちます。この事件は、暗号通貨の風景における潜在的なリスクと警戒とセキュリティの重要性を強く示すものです。
