14 Aralık 2023 tarihinde, Ledger’ın cüzdan bağlantısı için bir Javascript kütüphanesi olan Connect Kit’i önemli bir istismara uğradı. İki saat içinde kontrol altına alınan bu olay, Ledger’ın güvenlik uygulamalarına yönelik bir dizi eleştiriyi de beraberinde getirdi.
Ledger Connect Exploit Kripto Küresinden Karışık Tepkiler Aldı; Dapps ve Tether İhlale Hemen Yanıt Verdi
Kripto güvenlik çözümleri ve donanım cüzdanı üretimiyle tanınan Ledger, web sitelerini cüzdanlara bağlamak için kullanılan bir Javascript aracı olan Ledger Connect Kit’te bir açıkla karşılaştı. İki saatten az süren ihlal Ledger’ın donanımını ya da Ledger Live’ı etkilemedi ancak Connect Kit’i kullanan üçüncü taraf merkezi olmayan uygulamalarla (dapps) sınırlı kaldı. Ancak bu durum Ledger’ın yazılım güvenlik protokolleri hakkında soru işaretleri yarattı.
Kripto topluluğunun önde gelen isimlerinden ve bitcoin güvenlik sağlayıcısı Casa’nın CTO’su Jameson Lopp, Ledger’daki üç kritik hataya dikkat çekti: “Belirli bir sürümü ve sağlama toplamını sabitlemeden körü körüne kod yüklemek, kod incelemesi ve dağıtımı konusunda ‘2 adam kuralını’ uygulamamak ve eski çalışanların erişimini iptal etmemek.”
Güvenlik protokolündeki bu eksiklikler, eski bir çalışana yönelik bir kimlik avı saldırısının Ledger’ın NPMJS’sine kötü niyetli kodun girmesine yol açmasıyla istismarın gerçekleşmesine izin verdi. Lefteris Karapetsas da Ledger’ın yaklaşımını eleştirerek, “Siz deli misiniz? Neden dünyanın en güvenlik bilincine sahip kütüphanesini, kullanıcıların dapp’lerin güncellenmesini beklemesine gerek kalmadan kolaylık sağlamak için ‘CDN’den yüklemek’ için inşa edesiniz ki?”
Bir başka sektör yorumcusu olan Cryptofinally ise ihlalin doğasına olan inançsızlığını dile getirdi: “Ledger’dan dapp arayüzüne tümüyle faydalanacak kadar akıllı olduğunuzu ve ardından kodda tam adınızı bırakarak Twitter hesabınızda eski ledger çalışanı yazdığınızı hayal edin.”
Ledger CEO’su Pascal Gauthier, istismara yanıt olarak ihlali kabul etti ve gelişmiş güvenlik önlemleri için atılacak adımları özetledi. Gauthier şunları söyledi: “Bu talihsiz ve münferit bir olaydı. Bu, güvenliğin statik olmadığını ve Ledger’ın güvenlik sistemlerimizi ve süreçlerimizi sürekli olarak iyileştirmesi gerektiğini hatırlatıyor.” Ledger, gelecekte yaşanabilecek benzer olayların önüne geçmek için özellikle yazılım tedarik zinciri güvenliğinde daha güçlü kontroller uygulamayı planlıyor.
Şirket, çalınan varlıkların izini sürmek için kolluk kuvvetleri ve siber güvenlik uzmanlarıyla işbirliği yaptı ve etkilenen kullanıcılarla birlikte çalışıyor. Gauthier, “Etkilenen bireyler için bugün ortaya çıkan olaylardan derin üzüntü duyuyoruz” dedi. Ledger olayın kontrol altına alındığı konusunda ısrar ediyor ve Ledger kripto topluluğuna tehdidin azaltıldığı konusunda güvence verdi. Gauthier’in açıklamalarının yanı sıra olayın ve müdahale çabalarının tam bir zaman çizelgesi de paylaşıldı.
Ledger Connect istismarının ardından, çeşitli dapp’ler ve kripto firmaları etkiyi azaltmak için derhal harekete geçti. Birçok protokol ve şirket önlem olarak ön uç kullanıcı arayüzlerini devre dışı bıraktı. Harekete geçen projeler arasında Lido, Sushi, Balancer, Revokecash, Zapper ve değiştirilemez token (NFT) pazarı Opensea yer alıyor. Tether CEO’su Paolo Ardoino da kripto topluluğuna, stablecoin firmasının Ledger exploiter adresini dondurduğunu bildirdi.
Arkham Intelligence, Ledger Connect Library Drainer Exploit’in arkasındakileri tespit etmek için bir ödül açıkladı. “Angel Drainer” ile bağlantılı olan istismar, birden fazla dapp’ten 500 bin doların üzerinde bir kayıpla sonuçlandı. Arkham, ödüllerin Angel Drainer’ın kimliğini açıklamayı, fon kurtarma ipuçlarını ve Angel Drainer tarafından olay sonrası KYC değişim mevduatlarına ilişkin bilgileri içerdiğini belirtti. Arkham, Okx Dex olayından sonra da benzer bir ödül teklif etmiş ve 2,7 milyon dolarlık kayıp yaşanmıştı.
Bizi sosyal medya hesabımızdan takip etmeyi unutmayın