Madeetong on Nostr: สรุปประเด็นเรื่อง Ledger hardware wallet โดน ...
สรุปประเด็นเรื่อง Ledger hardware wallet โดน exploit
ประเด็นคร่าวๆคือ วันที่ 14/12/2023 ตัว JavaScript library ที่ใช้ในจังหวะกด confirm โอน crypto กับ defi smart contract ปกติ ตัว JS library ตัวนี้จะ update patch ทุกครั้งเวลา user กด update firmware ลง ledger ซึ่ง source ที่ download patch มาก็คือ Node package module (NPM ที่ถ้าใครเคยเขียนโปรแกรมภาษา javascript จะรุ้ว่ามันคือแหล่งรวม JS library) ที่บริษัท ledger เอา source code ไปแปะไว้
และตัว library ตัวนี้ มันมี malicious code แฝงอยู่ ที่ทำให้ตอนกดโอน crypto แทนที่จะโอนไปที่ contract address ของ dApp มันจะโอนไปที่ address ของ hacker แทน (address ของ hacker : 0x658729879fca881d9526480b82ae00efc54b5c2d)
แล้วตัว version ที่โดนคือ Ledger connect kit ver.11.5, 11.6, 11.7)
คนที่เสี่ยงโดน exploit ตัวนี้คือ คนที่กดทำธุรกรรมกับ Dapp บน Ethereum,BSC,chain EVM base ทั้งหลาย ในช่วงนั้น ถ้าไม่ได้กดทำธุรกรรมบน DApp ไม่ได้กระทบอะไร
Ceo Ledger ออกมาบอกว่าเกิดจากพนักงานโดน phishing จนทำให้ hacker เข้าไป upload JS source code ของ hacker ไปแปะใน NPM บัญชีของ บริษัท Ledger ได้ ทำให้คนที่ใช้ firmware ที่เป็น code ของ hacker ก็โดนกันหมด
Ledger บอกว่า malicious code ตัวนี้อยู่บน npm 5 ชั่วโมง , 40 นาทีหลังเกิดเรื่อง ได้ deploy ตัว version patch ไปแล้ว (ตอนนี้ ver 11.8 ไม่โดนแล้ว)
จบ
Source code บน npm (ตอนนี้ ver ที่โดนโดนลบออกแล้ว)
https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1
Npm package ที่โดน
https://www.npmjs.com/package/@ledgerhq/connect-kit?activeTab=versions
Github firmware ที่ใช้ library ตัวนี้
https://github.com/LedgerHQ/connect-kit/blob/main/packages/connect-kit-loader/src/index.ts#L83C49-L83C68
Ceo Ledger ออกมาแถลง
https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit?fbclid=IwAR2_BNJOVIcIF6P6e7X50Ryo5f65L6KUTi2X0d3Vi4Xcncyw2StSJdaOdWQ
ประเด็นคร่าวๆคือ วันที่ 14/12/2023 ตัว JavaScript library ที่ใช้ในจังหวะกด confirm โอน crypto กับ defi smart contract ปกติ ตัว JS library ตัวนี้จะ update patch ทุกครั้งเวลา user กด update firmware ลง ledger ซึ่ง source ที่ download patch มาก็คือ Node package module (NPM ที่ถ้าใครเคยเขียนโปรแกรมภาษา javascript จะรุ้ว่ามันคือแหล่งรวม JS library) ที่บริษัท ledger เอา source code ไปแปะไว้
และตัว library ตัวนี้ มันมี malicious code แฝงอยู่ ที่ทำให้ตอนกดโอน crypto แทนที่จะโอนไปที่ contract address ของ dApp มันจะโอนไปที่ address ของ hacker แทน (address ของ hacker : 0x658729879fca881d9526480b82ae00efc54b5c2d)
แล้วตัว version ที่โดนคือ Ledger connect kit ver.11.5, 11.6, 11.7)
คนที่เสี่ยงโดน exploit ตัวนี้คือ คนที่กดทำธุรกรรมกับ Dapp บน Ethereum,BSC,chain EVM base ทั้งหลาย ในช่วงนั้น ถ้าไม่ได้กดทำธุรกรรมบน DApp ไม่ได้กระทบอะไร
Ceo Ledger ออกมาบอกว่าเกิดจากพนักงานโดน phishing จนทำให้ hacker เข้าไป upload JS source code ของ hacker ไปแปะใน NPM บัญชีของ บริษัท Ledger ได้ ทำให้คนที่ใช้ firmware ที่เป็น code ของ hacker ก็โดนกันหมด
Ledger บอกว่า malicious code ตัวนี้อยู่บน npm 5 ชั่วโมง , 40 นาทีหลังเกิดเรื่อง ได้ deploy ตัว version patch ไปแล้ว (ตอนนี้ ver 11.8 ไม่โดนแล้ว)
จบ
Source code บน npm (ตอนนี้ ver ที่โดนโดนลบออกแล้ว)
https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1
Npm package ที่โดน
https://www.npmjs.com/package/@ledgerhq/connect-kit?activeTab=versions
Github firmware ที่ใช้ library ตัวนี้
https://github.com/LedgerHQ/connect-kit/blob/main/packages/connect-kit-loader/src/index.ts#L83C49-L83C68
Ceo Ledger ออกมาแถลง
https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit?fbclid=IwAR2_BNJOVIcIF6P6e7X50Ryo5f65L6KUTi2X0d3Vi4Xcncyw2StSJdaOdWQ