Несколько DApps, использующих библиотеку соединителя Ledger, были скомпрометированы

Несколько DApps, которые используют библиотеку соединителя Ledger, были взломаны.

Фронтенд нескольких децентрализованных приложений (DApps), использующих коннектор Ledger, включая Zapper, SushiSwap, Balancer и Revoke.cash, был скомпрометирован 14 декабря.

Технический директор SushiSwap Мэтью Лилли сообщил, что широко используемый коннектор Web3 был скомпрометирован, что позволило злонамеренному коду быть внедренным во множество DApps. Аналитик нацепил на цепочку осведомленности, где уязвимый код вставляет адрес аккаунта для слива.

CTO SushiSwap обвинил Ledger в непрекращающейся уязвимости и компрометации нескольких DApps. CTO утверждает, что контент-доставка Ledger (CDN) была скомпрометирована вместе с цепочкой ужасных просчетов – когда они сначала загружали JavaScript с компрометированного CDN, не блокируя версию JS.

Коннектор Ledger – это библиотека, используемая многими DApps и поддерживаемая Ledger. Добавлен слив с кошелька, поэтому слив счета пользователя может произойти не сам по себе. Однако, при использовании браузерного кошелька (например, MM), мошенники могут получить доступ к активам пользователя.

Аналитики On-chain предупредили пользователей об избегании любых DApps, использующих коннектор Ledger, добавив, что connect-kit-loader также уязвим. Любое DApp, которое использует LedgerHQ/connect-kit, уязвимо. Аналитики On-chain добавили, что это не единичная изолированная атака, а атака масштаба на несколько DApps.

Вице-президент Polygon Labs Хадсон Джеймсон сказал, что даже после исправления плохого кода в библиотеке Ledger, проекты, использующие и разворачивающие эту библиотеку, должны обновиться перед безопасным использованием DApps, использующих библиотеки Web3 от Ledger.

Ledger признал уязвимость в своем коде и заявил, что удалил вредоносную версию набора приложений Ledger Connect. В то же время, на ее место загружается подлинная версия, заменяющая вредоносный файл.

We will continue to update BiLee; if you have any questions or suggestions, please contact us!

Share:

Was this article helpful?

93 out of 132 found this helpful

Discover more

DeFi

«Основной общий объем заблокированных средств вырос на 76% на фоне гиперактивности нового протокола DeFi»

Base, сеть второго уровня Ethereum (L2), разработанная Coinbase, увидела, как ее общая заблокированная стоимость (TVL...

политика

ФБР обозначает 6 биткоин-кошельков, связанных с Северной Кореей, призывает быть бдительными в криптофирмах

2022 год стал свидетелем одних из самых крупных атак на децентрализованную финансовую (DeFi) сферу, а группа Лазарус ...

NFT

Супер-приложение Grab из Юго-Восточной Азии присоединяется к движению Web3, представляет вознаграждения на блокчейне

Юго-Восточно-азиатское приложение Grab, объединяющее все функции, добавило поддержку кошелька Web3 на основе Polygon ...

NFT

Инженер Reddit делится стратегией внедрения NFT на EthCC Paris

Мирела Спасова, старший инженер Reddit, обсудила стратегию привлечения миллионов пользователей к их блокчейн-основанн...

рынок

Крипто-киты тихо накапливают этот крипто-токен AI перед его появлением на биржах – чего они знают?

Прежде чем фишки AI криптографической yPredict попадут на список, киты берут их в свои лапы за счет интеграции предск...

DeFi

Проваленный контракт Banana Gun прошел 2 аудита, но ChatGPT нашел ошибку за секунды

Несмотря на то, что команда Banana Gun утверждает, что ей удалось пройти две аудита, уязвимость в контракте долгождан...