Knihovna Ledger ConnectKit kompromitovaná s odkapávačem, která představuje bezpečnostní rizika Web3 aplikace
Stručně
Knihovna ConnectKit Ledger byla narušena a legitimní nástroj byl nahrazen odvodňovacím skriptem, který odhalil mnoho Web3 aplikace.
Došlo k narušení bezpečnosti v Web3 koule, kompromitující Ledger ConnectKit knihovna, zásadní pro propojení Ledger Live s aplikacemi. Tento hack zahrnuje nahrazení knihovny „vypouštěcím“ skriptem, což představuje vážnou hrozbu pro prostředky uživatelů.
Kompromitovaný balíček ConnectKit —- automaticky načte skript JavaScript z cdn.jsdelivr.net, který obsahuje vypouštěcí program, do globálního rozsahu.
Tato infiltrace způsobila zranitelnost frontendu aplikací využívajících tuto knihovnu, zejména po autorizaci uživatele. Zprávy naznačují, že útočníci změnili modální okno připojení peněženky, čímž ohrozili všechny vlastníky peněženky, nejen ty, kteří Ledger naživo.
🚨 Identifikovali jsme a odstranili škodlivou verzi sady Ledger Connect Kit. 🚨
- Ledger (@Ledger) 14. prosince 2023
Pravá verze je nyní nabízena, aby nahradila škodlivý soubor. V tuto chvíli nekomunikujte s žádnými dApps. O vývoji situace vás budeme průběžně informovat.
Vaše zařízení Ledger a…
Varování vydaná knihou Ledger Bezpečnost
Významní odborníci na bezpečnost kryptoměn, včetně bantega, potvrdili kompromis knihovny Ledger a doporučují před interakcí s jakýmikoli decentralizovanými aplikacemi (dApps), dokud nebude jasnější. Zdá se, že tato chyba zabezpečení ovlivňuje také zavaděč ledger connect-kit-loader, protože volně určuje závislost.
Útok může mít dopad na širokou škálu stran, jak ukazuje seznam ovlivněných knihoven a aplikací využívajících @ledgerhq/connect-kit. Ledgerův návrh použít pro nahrání connect-kitu zavaděč connect-kit tento problém ještě zhoršuje, protože i připnuté verze zavaděče načítají nejnovější verzi connect-kitu, což vede k rozsáhlé infiltraci.
🚨 knihovna účetních knih byla potvrzena jako kompromitace a nahrazena odkapávačem. počkejte na interakci s jakýmikoli dapps, dokud se věci nevyjasní.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) 14. prosince 2023
Útočníkům se podařilo kompromitovat značný počet knihoven tím, že se zaměřili pouze na spojovací sadu. Ledger identifikuje verzi 1.1.4 jako poslední známé bezpečné vydání, ale považuje všechna vydání do 1.1.7, zveřejněná v den útoku, za ohrožená.
Tento bezpečnostní incident podtrhuje zásadní význam robustních opatření v oblasti kybernetické bezpečnosti v rychle se vyvíjejícím světě Web 3doména .0, kde ani zavedené nástroje, jako je Ledgerova knihovna, nejsou imunní vůči sofistikovaným kybernetickým útokům.
Odmítnutí odpovědnosti
V souladu s Pokyny k projektu Trust, prosím vezměte na vědomí, že informace uvedené na této stránce nejsou určeny a neměly by být vykládány jako právní, daňové, investiční, finanční nebo jakékoli jiné formy poradenství. Je důležité investovat jen to, co si můžete dovolit ztratit, a v případě pochybností vyhledat nezávislé finanční poradenství. Pro další informace doporučujeme nahlédnout do smluvních podmínek a také na stránky nápovědy a podpory poskytnuté vydavatelem nebo inzerentem. MetaversePost se zavázala poskytovat přesné a nezaujaté zprávy, ale podmínky na trhu se mohou bez upozornění změnit.
O autorovi
Nik je uznávaným analytikem a spisovatelem ve společnosti Metaverse Post, specializující se na poskytování špičkových náhledů do rychle se rozvíjejícího světa technologií se zvláštním důrazem na AI/ML, XR, VR, on-chain analytiku a vývoj blockchainu. Jeho články zapojují a informují různorodé publikum a pomáhají mu udržet náskok před technologickou křivkou. Nik, který má magisterský titul v oboru ekonomie a management, dobře rozumí nuancím obchodního světa a jeho průniku se vznikajícími technologiemi.
Další článkyNik je uznávaným analytikem a spisovatelem ve společnosti Metaverse Post, specializující se na poskytování špičkových náhledů do rychle se rozvíjejícího světa technologií se zvláštním důrazem na AI/ML, XR, VR, on-chain analytiku a vývoj blockchainu. Jeho články zapojují a informují různorodé publikum a pomáhají mu udržet náskok před technologickou křivkou. Nik, který má magisterský titul v oboru ekonomie a management, dobře rozumí nuancím obchodního světa a jeho průniku se vznikajícími technologiemi.