Ledger Connectの脆弱性により複数のDappsが攻撃に利用
暗号資産(仮想通貨)ハードウェアウォレット開発企業レジャー(Ledger)提供のソフトウェアライブラリの脆弱性が悪用された。レジャーが12月14日に発表した。これにより、多くのユーザーの資産がエクスプロイトを受けたことが分かっている。
悪用された脆弱性は「レジャー」が提供するデバイスを分散型アプリケーション(DApps)に接続する際に使用されるライブラリ「レジャーコネクトキット(Ledger Connect Kit)」。同ライブラリを利用すれば、レジャーデバイスをDAppsに接続するためのボタンの設置が可能になる。
「レジャー」の発表によると今回の悪用は、同社の元従業員がフィッシング攻撃を受けたことに起因したものだ。攻撃者が悪意のあるファイルをライブラリのファイルとしてアップロードしたことにより発生したとのことだ。
この悪用により、「レジャーコネクトキット」を採用したDAppsが攻撃に利用され、多くのユーザーの資産がエクスプロイトを受けたことがわかっている。
なお、このエクスプロイトによって流出した資産のうち、テザー社が発行するUSDTはすでに資金凍結したことがテザー社のCEOパオロ・アルドイノ(Paolo Ardoino)氏によって発表されている。
現在は、同ライブラリの悪意のあるバージョンがすでに削除され、修正が完了したバージョンである「1.1.8」の公開が完了している。しかし「レジャー」は各アプリケーションの対応には差があるため、明確なアップデート完了のアナウンスが行われるまでは注意が必要であるとの声も上がっている。
「レジャー」は12月15日、同社の公式Xアカウントにて攻撃を受けてから修正が行われるまでのタイムラインを公開している。
その投稿の中では「常にレジャーに明確な署名をするよう注意してください。レジャーの画面に表示されるのは、実際に署名したものです。ブラインド署名が必要な場合は、追加のレジャーミントウォレットを使用するか、トランザクションを手動で解析してください。現時点では、資金に影響を受けた可能性のある顧客と積極的に話し合い、それらの顧客を支援するために積極的に取り組んでいます。私たちは告訴を提出し、攻撃者を見つけるために法執行機関と協力して捜査を行っています」と述べられている。
FINAL TIMELINE AND UPDATE TO CUSTOMERS:
4:49pm CET:
Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.
The investigation continues, here is the timeline of what we know about…
— Ledger (@Ledger) December 14, 2023
関連ニュース
参考:レジャーブログ
images:iStocks/Myvector
Source: https://www.neweconomy.jp/posts/359322