La biblioteca Ledger ConnectKit està compromesa amb un escorredor, que comporta riscos de seguretat Web3 Apps
En breu
Es va trencar la biblioteca ConnectKit de Ledger, substituint l'eina legítima per un script de drenatge que va exposar nombrosos Web3 aplicacions.
S'ha produït una bretxa de seguretat al Web3 esfera, comprometent la Ledger ConnectKit biblioteca, crucial per enllaçar Ledger Live amb aplicacions. Aquest hack implica la substitució de la biblioteca per un script "drenador", que suposa una greu amenaça per als fons dels usuaris.
El paquet compromès, ConnectKit, carrega automàticament un script JavaScript des de cdn.jsdelivr.net, que inclou un escorredor, a l'àmbit global.
Aquesta infiltració va fer vulnerable la interfície de les aplicacions que utilitzaven aquesta biblioteca, especialment després de l'autorització de l'usuari. Els informes indiquen que els atacants han alterat la finestra modal de connexió de la cartera, posant en risc tots els propietaris de carteres, no només els que utilitzen Ledger Live.
🚨Hem identificat i eliminat una versió maliciosa del kit de connexió de Ledger. 🚨
- Ledger (@Ledger) Desembre 14, 2023
Ara s'està enviant una versió genuïna per substituir el fitxer maliciós. No interactueu amb cap dApp de moment. Us mantindrem informats a mesura que evolucioni la situació.
El vostre dispositiu Ledger i...
Advertències emeses per Ledger Seguretat
Experts destacats en seguretat de criptomoneda, inclòs banteg, han confirmat el compromís de la biblioteca Ledger i desaconsellen les interaccions amb qualsevol aplicació descentralitzada (dApps) fins que surti més claredat. Sembla que la vulnerabilitat també afecta el ledger connect-kit-loader, ja que especifica la dependència de manera vaga.
L'atac pot afectar un ampli ventall de parts, tal com indica una llista de biblioteques i aplicacions afectades que utilitzen el @ledgerhq/connect-kit. El suggeriment de Ledger d'utilitzar connect-kit loader per carregar connect-kit agreuja el problema, ja que fins i tot les versions fixades del carregador obtenen la darrera versió de connect-kit, la qual cosa provoca una infiltració generalitzada.
🚨 S'ha confirmat que la biblioteca del llibre major està compromesa i s'ha substituït per un escorredor. Espereu interactuant amb qualsevol dapp fins que les coses es facin més clares.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) Desembre 14, 2023
Els atacants han aconseguit comprometre un nombre important de biblioteques apuntant només al kit de connexió. Ledger identifica la versió 1.1.4 com l'última versió segura coneguda, però considera que totes les versions fins a la 1.1.7, publicades el dia de l'atac, estan compromeses.
Aquest incident de seguretat posa de relleu la importància crítica de les mesures de ciberseguretat sòlides en la ràpida evolució Web 3.0, on fins i tot eines ben establertes com la biblioteca de Ledger no són immunes als atacs cibernètics sofisticats.
renúncia
En línia amb la Directrius del projecte Trust, si us plau, tingueu en compte que la informació proporcionada en aquesta pàgina no pretén ni s'ha d'interpretar com a assessorament legal, fiscal, d'inversió, financer o de cap altra forma. És important invertir només el que et pots permetre perdre i buscar assessorament financer independent si tens dubtes. Per obtenir més informació, us suggerim que feu referència als termes i condicions, així com a les pàgines d'ajuda i assistència proporcionades per l'emissor o l'anunciant. MetaversePost es compromet a fer informes precisos i imparcials, però les condicions del mercat estan subjectes a canvis sense previ avís.
About The Autor
Nik és un expert analista i escriptor a Metaverse Post, especialitzada en oferir coneixements d'avantguarda sobre el ritme ràpid del món de la tecnologia, amb un èmfasi particular en AI/ML, XR, VR, anàlisi en cadena i desenvolupament de blockchain. Els seus articles atrauen i informen un públic divers, ajudant-los a mantenir-se al capdavant de la corba tecnològica. Amb un Màster en Economia i Gestió, Nik té una sòlida comprensió dels matisos del món empresarial i la seva intersecció amb les tecnologies emergents.
més articlesNik és un expert analista i escriptor a Metaverse Post, especialitzada en oferir coneixements d'avantguarda sobre el ritme ràpid del món de la tecnologia, amb un èmfasi particular en AI/ML, XR, VR, anàlisi en cadena i desenvolupament de blockchain. Els seus articles atrauen i informen un públic divers, ajudant-los a mantenir-se al capdavant de la corba tecnològica. Amb un Màster en Economia i Gestió, Nik té una sòlida comprensió dels matisos del món empresarial i la seva intersecció amb les tecnologies emergents.