Image Credit:Supply chain attack targeting Ledger crypto wallet leaves users hacked
暗号通貨ウォレットメーカーのLedgerによると、ハッカーが同社の暗号通貨プロトコルのコードに侵入しました。このプロトコルは、複数のWeb3アプリケーションやサービスで使用されています。Ledgerは、他の企業やプロジェクトが作成した分散型アプリ(dApp)がLedgerウォレットサービスに接続するために使用するライブラリである「Ledger Connect Kit」の「悪意のあるバージョン」が配信されたと述べました。すぐに、Ledgerは正規版のファイルから悪意のあるバージョンに置き換えられたと発表し、会社は調査を行い、状況が進展次第、包括的な報告書を提供する予定です。ハードウェアウォレットは影響を受けていないとされていますが、ユーザーがウォレットを悪意のあるLedgerバージョンに接続することを受け入れた場合、ハッカーはユーザーのウォレット内の暗号通貨を盗むことができます。このハックの被害者数は明らかではありません。しかし、著名な暗号通貨研究者のZachXBTによれば、少なくとも1人の被害者が自身のアカウントから60万ドル以上の暗号通貨を盗まれたとのことです。暗号プロトコルのコードがハッカーによって侵害され、複数のweb3アプリケーションやサービスに使用されていることが、ソフトウェアメーカーのレジャーによって発表されました。レジャーは、広く使用されている人気のある暗号ハードウェアおよびソフトウェアウォレットなどの製品を提供している会社であり、他の企業やプロジェクトが作成した分散型アプリ(dApps)がレジャーウォレットサービスに接続するために使用するライブラリである「レジャーコネクトキット」の「悪意のあるバージョン」を何者かが提供したと、レジャーはX(以前のTwitter)上で発表しました。レジャーは「正規のバージョンが現在悪意のあるファイルに代わって提供されています。現時点ではdAppとのやり取りはしないでください。状況が進展するにつれてお知らせします」と述べています。その後、レジャーは更新情報を投稿し、ハッカーがソフトウェアの正規バージョンを6時間前に置き換えたことを明らかにし、会社がこの事件を調査して「準備ができ次第包括的な報告を提供する」と述べました。レジャーの広報担当者フィリップ・コスティガン氏は、会社の公式Xアカウントに投稿された内容以外にはコメントを提供していません。レジャーは、ハードウェアウォレットを600万個販売しており、そのソフトウェア版であるLedger Liveは150万人のユーザーに利用されています。ハッキングの影響を受けたとは考えられていません。このハッキング事件について、ブロックチェーンセキュリティの研究者やweb3業界の関係者など、いくつかの人々がソーシャルメディアでユーザーに警告しました。暗号ウォレットZenGoの共同創設者であるタル・ベーアリは、ハッカーが悪意のあるソフトウェアのバージョンを押し付け、ユーザーにウォレットと資産を悪意のあるレジャーバージョンに接続するように誘導したとTechCrunchに語りました。ユーザーがウォレットを接続することを承諾すれば、ハッカーはユーザーのウォレット内の暗号を抜き取ることができます。被害を受けた人数は現時点では明確ではありませんが、有名な独立した暗号研究者のZachXBT氏は、1人の被害者が口座から60万ドル以上の暗号を抜き取られたとX上で投稿しました。いくつかのブロックチェーンセキュリティ研究者やweb3業界の関係者は、Ledgerへの供給チェーンハックについて、ソーシャルメディアでユーザーに警告しました。仮想通貨取引プラットフォームSushiの最高技術責任者であるマシュー・リリー氏は、この攻撃を検出し、ニュースを共有した最初の人物の1人でした。Joseph Delong氏は、NFT貸出プラットフォームAstariaXYZのCTOであり、「(分散型アプリ)とは二度とやり取りしないことをお勧めします。正直、人生を進めるべきです」とXで冗談めかして述べました。また、彼はLedgerが安全ではないとして悪名高いプログラミング言語であるJavaを使用していることに言及しました。
引用元記事はこちらSupply chain attack targeting Ledger crypto wallet leaves users hacked