Библиотеката на Ledger ConnectKit е компрометирана с дрейнер, което представлява риск за сигурността Web3 Приложения:
Накратко
Библиотеката ConnectKit на Ledger беше пробита, заменяйки легитимния инструмент със скрипт за източване, който изложи множество Web3 Приложения.
Възникна пробив в сигурността в Web3 сфера, компрометираща Ledger ConnectKit библиотека, от решаващо значение за свързване на Ledger Live с приложения. Този хак включва подмяната на библиотеката със скрипт за източване, което представлява сериозна заплаха за средствата на потребителите.
Компрометираният пакет, ConnectKit —- автоматично зарежда JavaScript скрипт от cdn.jsdelivr.net, който включва дрейнер, в глобалния обхват.
Това проникване направи интерфейса на приложенията, използващи тази библиотека, уязвим, особено след оторизация на потребителя. Докладите показват, че нападателите са променили модалния прозорец за свързване на портфейла, излагайки на риск всички собственици на портфейли, а не само тези, които използват Ledger Live.
🚨Идентифицирахме и премахнахме злонамерена версия на Ledger Connect Kit. 🚨
- книга (@ Леджър) Декември 14, 2023
В момента се предлага истинска версия, която да замени злонамерения файл. За момента не взаимодействайте с никакви dApps. Ще ви държим в течение с развитието на ситуацията.
Вашето Ledger устройство и...
Предупреждения, издадени от Ledger Охрана
Известни експерти по сигурността на криптовалутата, включително banteg, потвърдиха компромиса на библиотеката на Ledger и съветват да не се взаимодействат с всякакви децентрализирани приложения (dApps), докато се появи повече яснота. Изглежда, че уязвимостта засяга и Ledger Connect-kit-loader, тъй като определя зависимостта свободно.
Атаката потенциално засяга широк кръг от страни, както е посочено от списък на засегнатите библиотеки и приложения, използващи @ledgerhq/connect-kit. Предложението на Ledger да се използва connect-kit loader за зареждане на connect-kit изостря проблема, тъй като дори фиксираните версии на loader извличат най-новата версия на connect-kit, което води до широко разпространено проникване.
🚨 Библиотеката на счетоводната книга е потвърдена, че е компрометирана и е заменена с дренаж. изчакайте да взаимодействате с всякакви dapps, докато нещата станат по-ясни.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) Декември 14, 2023
Нападателите са успели да компрометират значителен брой библиотеки, като са се насочили само към комплекта за свързване. Ledger идентифицира версия 1.1.4 като последната известна безопасна версия, но счита всички версии до 1.1.7, публикувани в деня на атаката, като компрометирани.
Този инцидент със сигурността подчертава критичното значение на стабилните мерки за киберсигурност в бързо развиващия се свят Web 3.0 домейн, където дори утвърдени инструменти като библиотеката на Ledger не са имунизирани срещу сложни кибератаки.
Отказ от отговорност
В съответствие с Доверете се насоките на проекта, моля, имайте предвид, че предоставената на тази страница информация не е предназначена да бъде и не трябва да се тълкува като правен, данъчен, инвестиционен, финансов или каквато и да е друга форма на съвет. Важно е да инвестирате само това, което можете да си позволите да загубите, и да потърсите независим финансов съвет, ако имате някакви съмнения. За допълнителна информация предлагаме да се обърнете към правилата и условията, както и към страниците за помощ и поддръжка, предоставени от издателя или рекламодателя. MetaversePost се ангажира с точно, безпристрастно отчитане, но пазарните условия подлежат на промяна без предизвестие.
За автора
Ник е опитен анализатор и писател в Metaverse Post, специализирана в предоставянето на авангардни прозрения в забързания свят на технологиите, с особен акцент върху AI/ML, XR, VR, анализи във веригата и разработка на блокчейн. Неговите статии ангажират и информират разнообразна аудитория, като им помагат да изпреварят технологичната крива. Притежавайки магистърска степен по икономика и управление, Ник има солидна представа за нюансите на света на бизнеса и неговата пресечна точка с нововъзникващите технологии.
Още статииНик е опитен анализатор и писател в Metaverse Post, специализирана в предоставянето на авангардни прозрения в забързания свят на технологиите, с особен акцент върху AI/ML, XR, VR, анализи във веригата и разработка на блокчейн. Неговите статии ангажират и информират разнообразна аудитория, като им помагат да изпреварят технологичната крива. Притежавайки магистърска степен по икономика и управление, Ник има солидна представа за нюансите на света на бизнеса и неговата пресечна точка с нововъзникващите технологии.