Несколько DApps, использующих библиотеку соединителя Ledger, были скомпрометированы
Несколько DApps, которые используют библиотеку соединителя Ledger, были взломаны.
Фронтенд нескольких децентрализованных приложений (DApps), использующих коннектор Ledger, включая Zapper, SushiSwap, Balancer и Revoke.cash, был скомпрометирован 14 декабря.
Технический директор SushiSwap Мэтью Лилли сообщил, что широко используемый коннектор Web3 был скомпрометирован, что позволило злонамеренному коду быть внедренным во множество DApps. Аналитик нацепил на цепочку осведомленности, где уязвимый код вставляет адрес аккаунта для слива.
🚨🚨🚨 RED ALERT 🚨🚨🚨:
Do not interact with ANY dApps until further notice. It appears that a commonly used web3 connector has been compromised which allows for injection of malicious code affecting numerous dApps.
- Более 300 млн долларов украденных криптовалютных активов попали в биткоин-миксеры в 2023 году данные
- Общая стоимость экосистемы Cardano DeFi приближается к $450 млн в связи с усилиями по развитию уровня 1; ADA стремительно растет на 17%
- Цена Cardano (ADA) вырастает на более чем 15%, поскольку общий объем телевизионного развлечения в секторе DeFi превышает 450 миллионов долларов.
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
CTO SushiSwap обвинил Ledger в непрекращающейся уязвимости и компрометации нескольких DApps. CTO утверждает, что контент-доставка Ledger (CDN) была скомпрометирована вместе с цепочкой ужасных просчетов – когда они сначала загружали JavaScript с компрометированного CDN, не блокируя версию JS.
Коннектор Ledger – это библиотека, используемая многими DApps и поддерживаемая Ledger. Добавлен слив с кошелька, поэтому слив счета пользователя может произойти не сам по себе. Однако, при использовании браузерного кошелька (например, MM), мошенники могут получить доступ к активам пользователя.
Аналитики On-chain предупредили пользователей об избегании любых DApps, использующих коннектор Ledger, добавив, что connect-kit-loader также уязвим. Любое DApp, которое использует LedgerHQ/connect-kit, уязвимо. Аналитики On-chain добавили, что это не единичная изолированная атака, а атака масштаба на несколько DApps.
seems like the Ledger's @ledgerhq/connect-kit npm package was hacked, the latest publish was 2 hours ago. https://t.co/jFb6CThljS pic.twitter.com/AsbA675D9Q
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) December 14, 2023
Вице-президент Polygon Labs Хадсон Джеймсон сказал, что даже после исправления плохого кода в библиотеке Ledger, проекты, использующие и разворачивающие эту библиотеку, должны обновиться перед безопасным использованием DApps, использующих библиотеки Web3 от Ledger.
Ledger признал уязвимость в своем коде и заявил, что удалил вредоносную версию набора приложений Ledger Connect. В то же время, на ее место загружается подлинная версия, заменяющая вредоносный файл.
🚨We have identified and removed a malicious version of the Ledger Connect Kit. 🚨
A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.
Your Ledger device and…
— Ledger (@Ledger) December 14, 2023
We will continue to update BiLee; if you have any questions or suggestions, please contact us!
Was this article helpful?
93 out of 132 found this helpful
Related articles
- Yearn.finance умоляет арбитражных трейдеров вернуть средства после $1.4M прокола в мультиподписи
- Виталик Бутерин рассматривает возможность вернуть некоторые функции Layer-2 на главный цепочный блок Эфириума.
- Hitachi и Фонд Конкордиум объединяются для разработки биометрического криптокошелька
- Cosmos Interchain Foundation выделяет $26 млн на развитие экосистемы в 2024 году
- ATHDAOx Строим будущее Web3 в физическо-цифровой сфере с помощью DAO
- ОКХ ДЕКС потерпел убыток в размере 2,7 миллиона долларов США после обновления контракта администратора прокси
- Бывший президент США Дональд Трамп запускает NFT-акцию в тематике Фото ареста