Несколько децентрализованных приложений, использующих библиотеку коннекторов Ledger, были взломаны, в том числе SushiSwap и Revoke.cash. Ledger утверждает, что проблема устранена.
Фронт-энд нескольких децентрализованных приложений (DApps), использующих коннектор Ledger, включая Zapper, SushiSwap, Phantom, Balancer и Revoke.cash, был взломан 14 декабря. Спустя почти три часа после обнаружения бреши в системе безопасности компания Ledger сообщила, что вредоносная версия файла была заменена на подлинную около 13:35 UTC.
Ledger предупреждает пользователей “всегда ставить “чистую подпись” на транзакциях”, добавляя, что адреса и информация, представленная на экране Ledger, являются единственной подлинной информацией. “Если есть разница между экраном, отображаемым на вашем устройстве Ledger, и экраном вашего компьютера/телефона, немедленно прекратите транзакцию”.
По словам вице-президента Polygon Labs Хадсона Джеймсона, даже после того, как Ledger исправит плохой код в своей библиотеке, проекты, использующие и развертывающие эту библиотеку, должны будут обновиться, прежде чем станет безопасно использовать DApps, использующие библиотеки Web3 от Ledger.
КРАСНАЯ ТРЕВОГА :
Не взаимодействуйте с ЛЮБЫМИ децентрализованными приложениями до дальнейшего уведомления. Похоже, что широко используемый коннектор Web3 был скомпрометирован, что позволяет внедрять вредоносный код, затрагивающий многочисленные децентрализованные приложения.
— Я Программное обеспечение (@MatthewLilley) 14 декабря 2023 г.
Лилли обвинил Ledger в продолжающейся уязвимости и компрометации множества DApps. Исполнитель утверждает, что сеть доставки контента Ledger была взломана, и JavaScript загружался из взломанной сети.
Ledger connector – это библиотека, используемая многими DApps и поддерживаемая Ledger. Добавлена функция слива средств из кошелька, поэтому слив активов со счета пользователя может не произойти сам по себе. Однако при этом будут отображаться подсказки от браузерного кошелька вроде MetaMask, которые могут дать злоумышленникам доступ к активам.
Лилли предупредил пользователей, чтобы они избегали любых DApps, использующих коннектор Ledger, добавив, что “connect-kit” также уязвим, и что это не единичная атака, а масштабная атака на множество DApps.
похоже, что пакет npm @ledgerhq/connect-kit Ledger был взломан, последняя публикация была 2 часа назад. https://t.co/jFb6CThljS pic.twitter.com/AsbA675D9Q
— Анализатор мошенничества | Защита от мошенничества Web3 (@realScamSniffer) 14 декабря 2023 г.
Вице-президент Polygon Labs Хадсон Джеймсон сказал даже после того, как Ledger исправит плохой код в своей библиотеке, проекты, использующие и развертывающие эту библиотеку, должны будут обновить все, прежде чем можно будет безопасно использовать DApps, использующие библиотеки Ledger Web3.
Ledger признал уязвимость в своем коде и заявил, что удалил вредоносную версию Ledger Connect Kit. В то же время сейчас предлагается подлинная версия, которая заменит вредоносный файл.
Мы обнаружили и удалили вредоносную версию Ledger Connect Kit.
Сейчас выпускается подлинная версия, которая заменит вредоносный файл. На данный момент не взаимодействуйте ни с какими децентрализованными приложениями. Мы будем держать вас в курсе по мере развития ситуации.
Ваше устройство Ledger и…
— Леджер (@Ledger) 14 декабря 2023 г.
Это развивающаяся история, и дополнительная информация будет добавляться по мере ее появления.
[ad_2]