損失報告、ユーザーに注意喚起
Web3 セキュリティを専門とするサイバーセキュリティ会社 BlockAid は、悪意のあるコードが実際の Web サイトに組み込まれたことにより、約 150,000 ドルの多額の損失が発生したことを明らかにしました。ただし、Ledger はユーザーが取引を行わない限り、資産は安全であると保証しました。
Ledger の CEO、Ido Ben-Natan 氏は、事前のユーザー確認なしにエクスプロイトは実行できなかったと強調しましたが、多くの Web サイトが影響を受けたことを認め、ユーザーへの潜在的な影響について警告しました。
分散型取引所プラットフォームである SushiSwap は、プラットフォーム上でこの問題に対処し、Ledger のコネクタの侵害により、さまざまな分散型アプリケーション (dApps) への悪意のあるコードの挿入が可能になる可能性があることを認めました。
Revoke.cash と Ledger による予防措置
安全対策として、Web3 アプリに付与されたトランザクション署名機能をユーザーが取り戻すことができるサービスである Revoke.cash は、ユーザーの欺瞞を防ぐためにフロントエンド操作を一時的に停止しました。
Ben-Natan 氏は、攻撃に対する脆弱性を考慮して、Revoke.cash とのやり取りに対して特に警告しました。 Ledger の公式アカウントは、潜在的な攻撃ベクトルを確認し、悪意のあるコードはその後削除されたと述べました。
Ledger ソフトウェアの新バージョンは現在普及中であり、サードパーティの dApp のキャッシュに応じて、一度有効化されると脅威を完全に無力化することが期待されています。
引き続き警戒し、情報を入手してください
この悪意のあるコードは最近出現したばかりであり、さらなる措置が講じられた場合にのみ資金が盗まれる可能性がありますが、専門家は注意を払い、暗号化 Web アプリの使用を控えることを推奨しています。 WalletConnect は、Ledger と直接統合されていない dApp 開発者向けに広く使用されているインターフェースでもあり、ユーザーに警告を発しました。
Ledger の広報責任者、Philip Costigan 氏は、ユーザーに対し、当面は dApps とのやり取りを避けるよう促し、状況の進展に応じて定期的にアップデートすることを保証しました。
SushiSwap トークン販売プラットフォーム攻撃などの以前の事件では、ユーザーは約 865 ETH (当時 300 万ドル、現在 200 万ドル) を失いました。これらの攻撃には、疑うことを知らないユーザーを本物のプラットフォーム Web サイトの偽造バージョンにリダイレクトする DNS 操作が含まれており、資金が攻撃者にリダイレクトされることにつながりました。
2023 年 12 月 14 日午前 8 時 34 分(東部標準時間)、午前 8 時 53 分(東部標準時)、午前 9 時 03 分(東部標準時)、午前 9 時 15 分(東部標準時)に、Ledger と BlockAid からの追加情報とコメントを含めて更新されました。