Hackers hebben donderdag $484.000 gestolen door kwaadaardige code in te voegen in de Github-bibliotheek voor Connect Kit, een veelgebruikt stuk blockchain-software onderhouden door het crypto wallet bedrijf Ledger.
Verscheidene belangrijke gedecentraliseerde financiële (DeFi) protocollen die de bibliotheek gebruiken, zijn getroffen en gebruikers zijn gewaarschuwd om gedecentraliseerde apps (dApps) volledig te vermijden totdat deze protocollen zijn bijgewerkt.
Kwaadaardige code
Ledger’s Connect Kit is een stuk code waarmee DeFi-protocollen verbinding kunnen maken met crypto hardware wallets. De exploit kan potentieel de front-end van alle protocollen die de Connect Kit gebruiken, beïnvloeden, waaronder Sushi, Lido, Metamask en Coinbase. Volgens Ledger werd een medewerker het doelwit van een “phishing-aanval”, waarna de aanvaller “een kwaadaardige versie van de Ledger Connect Kit publiceerde.”
Een woordvoerder van Ledger vertelde CoinDesk dat ze “een kwaadaardige versie van de Ledger Connect Kit hebben geïdentificeerd en verwijderd,” en het bedrijf zei in een post dat “de periode waarin fondsen werden gedraineerd beperkt was tot minder dan twee uur.”
Hoewel Ledger zijn eigen code heeft bijgewerkt, vertelde Ido Ben-Natan, CEO van blockchain beveiligingsfirma Blockaid, aan CoinDesk dat “veel websites nog steeds worden getroffen en gebruikers worden geraakt.” Om het risico volledig te verminderen, moet elk protocol dat Ledger’s Connect Kit gebruikt, handmatig hun versie van de bibliotheek bijwerken. Ondertussen blijven verschillende protocollen in gevaar, specifiek revoke.cash, een dienst die wordt gebruikt om toestemmingen van DeFi-protocollen te verwijderen.
Ben-Natan voegde toe: “Revoke.cash is specifiek getroffen dus interacteer er niet mee. Het aantal getroffen fondsen is honderdduizenden dollars over de afgelopen twee uur.” MetaMask heeft aangekondigd dat het een oplossing heeft geïmplementeerd om de kwaadaardige code te verwijderen twee uur na de hack.
De aard van de exploit benadrukt de fragiele aard van gedecentraliseerde applicaties; aangezien protocollen code gebruiken van verschillende softwareleveranciers zoals Ledger, zijn er talrijke falingspunten langs de toeleveringsketen die uiteindelijk gebruikers kunnen beïnvloeden.
Ledger is eerder het slachtoffer geweest van beveiligingsproblemen. In 2020 lekte hun volledige klantendatabase, wat leidde tot angsten voor sim-swapping en inbraken op huisadressen van gebruikers. Het bedrijf stond ook het afgelopen jaar ter discussie na een software-update die discrepanties aan het licht bracht tussen de veiligheid van zijn hardware en hoe het aan gebruikers werd gepromoot.
