ハードウェアウォレット「Ledger」のツールに悪意のあるコードが発見。約6800万円の被害が確認

2023年12月14日に、Ledgerのウォレットに接続するためのJavaScriptライブラリである「Ledger Connect Kit上」で不正プログラムの攻撃がありました。
これにより、約6800万円の被害が確認されています。

A hacker attacked #Ledger and has stolen ~$484K assets.#LedgerExploiter transferred 4.334 $ETH to #AngelDrainer.

And the #AngelDrainer is also receiving assets currently and holds $363K assets.https://t.co/ZG5SRlKBjW pic.twitter.com/RK9aPyAjEE
— Lookonchain (@lookonchain) December 14, 2023

https://x.com/lookonchain/status/1735309710356877615

本記事で分かること: ・Ledgerとは？
・Ledgerのハードウェアウォレットが危ないわけではない
・なぜ今回の被害が起きたのか？
・2023年12月15日時点の状況について
・ユーザーはどうすればいいのか？

Table of Contents

Ledgerとは？

Ledger（@Ledger）は、ハードウェアウォレットを提供する会社で、2015年に創業されました。
現在、600万台以上販売されています。
公式サイト：https://www.ledger.com/

メタマスクなどのホットウォレット（ブラウザで動かすウォレット）とは違い、デバイス上で秘密鍵を保管しているのでセキュリティの向上に繋がります。
ハードウェアウォレットについては、以下の記事で詳細に解説しています。
ぜひ、参考にしてください。
関連記事：ハードウェアウォレットとは？選び方やメリット・デメリットを解説

Ledgerの「ツール」に悪意のあるコードが発見

Ledgerのブログ記事の内容を一部抜粋します。（日本語訳で引用）

– 2023年12月14日、Ledgerはウェブサイトをウォレットに接続するためのJavascriptライブラリであるLedger Connect Kit上でエクスプロイトを受けました。

– 業界はLedgerと協力し、このエクスプロイトを無効化し、盗まれた資金を迅速に凍結しようと しました。

– このエクスプロイトは現在調査中で、Ledgerは苦情を申し立て、影響を受けた個人が資金を回復できるよう支援する予定 です。

– このエクスプロイトは、LedgerハードウェアやLedger Liveの完全性には影響しませんでしたし、影響もありません。

– このエクスプロイトは、Ledger Connect Kitを使用するサードパーティのDAppsに限定されていました。
https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit

X（旧Twitter）では、「Ledger自体がハッキングされた」との投稿が散見されますが、実際は違います。
上記の引用文を見てください。

「このエクスプロイトは、LedgerハードウェアやLedger Liveの完全性には影響しませんでしたし、影響もありません。」

問題があったのは、あくまでツールであり、デバイスなどに問題があったわけではありません。

なぜ今回の被害が起きたのか？

ハッカーがLedger Connect Kitに、悪意のあるバージョンを公開したことが原因です。（バージョン1.1.5、1.1.6、1.1.7に影響）

Ledgerの元従業員がフィッシングの被害に遭ったことで発覚しました。
Ledgerのテクノロジーチームとセキュリティチームは報告を受け、40分以内に修正プログラムを配布しています。

悪質なファイルは5時間ほど稼働していましたが、資金が流出したのは2時間以内だったとのことです。
LedgerはWalletConnect（@WalletConnect）と連携し、不正プロジェクトを迅速に無効化しました。
現在は、検証済みのLedger Connect Kitバージョン1.1.8を提供しており、安全に使用可能です。（バージョンは、各自で確認する必要があります）

UPDATE: The genuine Ledger Connect Kit 1.1.8 is now fully propagated. Ledger and WalletConnect can confirm that the malicious code was deactivated. You are now safe to use your Ledger Connect Kit. Reminder that that we always encourage clear signing.
— Ledger (@Ledger) December 14, 2023

https://x.com/Ledger/status/1735370531224834430?s=20

2023年12月15日時点の状況について

Ledger はWalletConnect、およびパートナーとともに、不正行為者のウォレットアドレスを報告しています。
このウォレットアドレスは、Chainalysis（@chainalysis）で確認できます。
Tether（@Tether_to）は不正行為者の USDT を凍結済み。

現時点では、資金が影響を受けた可能性のある人を支援するために積極的に取り組んでいるそうです。
確定はしていませんが、資産を補填するのではないかと考えられます。
さらに告訴を提出し、不正行為者を見つけるために法執行機関と協力して捜査中とのことです。

資金が流出した不正行為者のアドレスは以下であると考えられています。
0x658729879fca881d9526480b82ae00efc54b5c2d

FINAL TIMELINE AND UPDATE TO CUSTOMERS:

4:49pm CET:

Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.

The investigation continues, here is the timeline of what we know about…
— Ledger (@Ledger) December 14, 2023

https://x.com/Ledger/status/1735326240658100414?s=20

ユーザーはどうすればいいのか？

ハッキングを防ぐための対策方法は、署名前に署名内容を確認することです。
最近のハードウェアウォレットでは「Clear Signing」が用意されています。
通常は、ブラインド署名で、署名内容は人間が読めない形になっています。

「Clear Signing」は、署名内容を読めるようにした機能です。
署名内容を確認することで、不正な内容を防止できます。
コントラクトアドレスを確認することも重要です。

Clear Signing は対応しているDappsも限られてくる上、署名内容を読むためにも専門知識が必要です。
一般ユーザーにおいては、ハッキング防止機能がついているWallet（Rabby Walletなど）に Ledger をつないで利用することも有効。
特にRabby Wallet では、普段つないだことがないコントラクトは警告が出るため、事前にハッキングを防ぐことが可能です。
メタマスクでも、保護セキュリティ機能が実装されています。
以下の記事を参考にしてください。

関連記事：メタマスクでプライバシー保護機能が導入！

対策方法については、NFTエンジニアのはやっち（@HayattiQ）氏の投稿を参考にしました。
あわせてご確認ください。

< Ledger connect の脆弱性について >

昨日、Ledger Connect Kit の脆弱性に起因する大規模なハッキングが起きました。
この脆弱性は、Ledger（ハードウェアウォレット）のバグかのような勘違いや誤った情報も流れていますが、Ledger CEO からのメッセージも出ましたので情報を整理しましょう。

<… pic.twitter.com/lAco83pGC8
— Hayatti.eth @ はやっち (@HayattiQ) December 15, 2023

https://x.com/HayattiQ/status/1735473898484039913