Det sägs ofta att en enda gnista kan starta en skogsbrand. Denna analogi är sann även i den digitala världen, där en enda phishing-länk utlöste kaos i kryptolandskapet och orsakade allmän panik och osäkerhet. Brottslingen? En tidigare anställd hos en tillverkare av krypto-plånböcker, Ledger, som föll offer för en phishing-bluff.
Avslöjande av cyberattacken
Phishing-bluffen började när den tidigare Ledger-anställdens namn och e-postadress dök upp i det komprometterade koden. Detta ledde till initiala spekulationer om att utvecklaren var ansvarig för attacken. Ledger förtydligade emellertid att attacken initierades eftersom den tidigare anställde föll offer för en phishing-bluff.
Efter att ha fått tillgång till den tidigare anställdes NPMJS-konto, en pakethanterare för det JavaScript-programmeringsspråket, befann sig angriparen i en position att orsaka betydande skada. Utvecklare använder dessa paket eller bibliotek för att bygga projekt, inklusive decentraliserade appar (dApps), utan att behöva koda allt från grunden.
Få tillgång till utnyttjande
När angriparen hade tillgång till NPMJS pushade de en skadlig version av Ledger Connect Kit. Det innebar att alla projekt som använde Connect Kit skulle ha innehållit skadlig kod kapabel att omdirigera användares medel till en hackares plånbok.
De påverkade versionerna av Connect Kit var 1.1.5, 1.1.6 och 1.1.7, vilka alla sedan dess har tagits bort från Ledgers NPM-sida. Den skadliga filen var aktiv i cirka fem timmar, men Ledger tror att fönstret under vilket medel tömdes var mindre än två timmar.
Efterspel och återhämtning
Efter händelsen pushade Ledger en ny version av Connect Kit (1.1.8) och meddelade att alla plånböcker som använde den skulle uppdateras automatiskt. De uppmanade emellertid användare att vänta 24 timmar innan de försökte ansluta till en dApp.
Ilkka Turunen, Field CTO på cybersäkerhetsföretaget Sonatype, lyfte fram den potentiella omfattningen av skadan och påpekade det stora antalet repositories på GitHub som är beroende av connect-kit-loader. Denna händelse understryker vikten av att utvecklare utövar ordentlig hygien vid användning av sådana paket.
Händelsen väckte betydande ångest inom branschen. Aftab Hossain, en investerare och rådgivare, uttryckte sina farhågor på X (tidigare Twitter) och påpekade att ekosystemet skulle kunna vara allvarligt komprometterat om en utvecklare som klickar på en phishing-länk skulle kunna äventyra nästan varje betydande apps frontend.
Samtidigt frös Tether, en utfärdare av stablecoins, medel kopplade till plånboken som användes av exploitören, vilken hade tömt 484 000 dollar från DeFi-användare. Plånboken, kopplad till en phishing-grupp som kallas Angel Drainer, hade varit inblandad i flera andra DeFi-hack.
När vi navigerar den komplexa världen av kryptovalutor kan verktyg som cryptoview.io hjälpa oss att hålla oss informerade och säkra. Denna händelse fungerar som en påminnelse om de potentiella riskerna i kryptolandskapet och vikten av vaksamhet och säkerhet.
Håll dig säker, håll dig informerad och håll dig säker med cryptoview.io.
