Несколько децентрализованных приложений, использующих библиотеку коннекторов Ledger, были взломаны, в том числе SushiSwap и Revoke.cash. Ledger утверждает, что проблема устранена.

Фронт-энд нескольких децентрализованных приложений (DApps), использующих коннектор Ledger, включая Zapper, SushiSwap, Phantom, Balancer и Revoke.cash, был взломан 14 декабря. Спустя почти три часа после обнаружения бреши в системе безопасности компания Ledger сообщила, что вредоносная версия файла была заменена на подлинную около 13:35 UTC.

Ledger предупреждает пользователей “всегда ставить “чистую подпись” на транзакциях”, добавляя, что адреса и информация, представленная на экране Ledger, являются единственной подлинной информацией. “Если есть разница между экраном, отображаемым на вашем устройстве Ledger, и экраном вашего компьютера/телефона, немедленно прекратите транзакцию”.

По словам вице-президента Polygon Labs Хадсона Джеймсона, даже после того, как Ledger исправит плохой код в своей библиотеке, проекты, использующие и развертывающие эту библиотеку, должны будут обновиться, прежде чем станет безопасно использовать DApps, использующие библиотеки Web3 от Ledger.

Лилли обвинил Ledger в продолжающейся уязвимости и компрометации множества DApps. Исполнитель утверждает, что сеть доставки контента Ledger была взломана, и JavaScript загружался из взломанной сети.

Ledger connector – это библиотека, используемая многими DApps и поддерживаемая Ledger. Добавлена функция слива средств из кошелька, поэтому слив активов со счета пользователя может не произойти сам по себе. Однако при этом будут отображаться подсказки от браузерного кошелька вроде MetaMask, которые могут дать злоумышленникам доступ к активам.

Лилли предупредил пользователей, чтобы они избегали любых DApps, использующих коннектор Ledger, добавив, что “connect-kit” также уязвим, и что это не единичная атака, а масштабная атака на множество DApps.

Вице-президент Polygon Labs Хадсон Джеймсон сказал даже после того, как Ledger исправит плохой код в своей библиотеке, проекты, использующие и развертывающие эту библиотеку, должны будут обновить все, прежде чем можно будет безопасно использовать DApps, использующие библиотеки Ledger Web3.

Ledger признал уязвимость в своем коде и заявил, что удалил вредоносную версию Ledger Connect Kit. В то же время сейчас предлагается подлинная версия, которая заменит вредоносный файл.

Это развивающаяся история, и дополнительная информация будет добавляться по мере ее появления.

 

Источник

Предыдущая статьяБиткойн – это “суперлогичный” шаг на технологическом древе – генеральный директор OpenAI
Следующая статьяДва противоположных видения будущего криптовалют. Биткоин-макси против мультичейнов.