Ledger ConnectKit-bibliotek kompromitteret med et afløb, hvilket udgør sikkerhedsrisici Web3 Apps
Kort sagt
Ledgers ConnectKit-bibliotek blev brudt og erstattede det legitime værktøj med et drainer-script, der afslørede adskillige Web3 apps.
Der opstod et sikkerhedsbrud i Web3 sfære, kompromitterer Ledger ConnectKit bibliotek, afgørende for at forbinde Ledger Live med applikationer. Dette hack involverer udskiftning af biblioteket med et 'drainer'-script, hvilket udgør en alvorlig trussel mod brugernes midler.
Den kompromitterede pakke, ConnectKit —- indlæser automatisk et JavaScript-script fra cdn.jsdelivr.net, som inkluderer en drainer, til det globale omfang.
Denne infiltration gjorde frontend af applikationer, der bruger dette bibliotek, sårbar, især efter brugerautorisation. Rapporter viser, at angribere har ændret tegnebogens forbindelsesmodale vindue, hvilket udsætter alle tegnebogsejere i fare, ikke kun dem, der bruger Ledger Live.
🚨Vi har identificeret og fjernet en ondsindet version af Ledger Connect Kit. 🚨
- Ledger (@Ledger) 14. December, 2023
En ægte version bliver skubbet for at erstatte den ondsindede fil nu. Interager ikke med nogen dApps i øjeblikket. Vi vil holde dig orienteret, efterhånden som situationen udvikler sig.
Din Ledger-enhed og...
Advarsler udstedt af Ledger Sikkerhed
Bemærkelsesværdige eksperter i cryptocurrency-sikkerhed, inklusive banteg, har bekræftet Ledger-bibliotekets kompromis og fraråder interaktioner med decentraliserede applikationer (dApps), indtil der kommer mere klarhed frem. Sårbarheden ser ud til også at påvirke Ledger connect-kit-loader, da den specificerer afhængigheden løst.
Angrebet påvirker potentielt en lang række parter, som angivet af en liste over berørte biblioteker og applikationer, der bruger @ledgerhq/connect-kit. Ledgers forslag om at bruge connect-kit loader til at indlæse connect-kit forværrer problemet, da selv fastgjorte versioner af loaderen henter den seneste version af connect-kit, hvilket fører til udbredt infiltration.
🚨 Hovedbogsbibliotek bekræftet kompromitteret og erstattet med et afløb. vent med at interagere med nogen dapps, indtil tingene bliver klarere.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) 14. December, 2023
Angribere har formået at kompromittere et betydeligt antal biblioteker ved kun at målrette forbindelsessættet. Ledger identificerer version 1.1.4 som den sidst kendte sikre udgivelse, men betragter alle udgivelser op til 1.1.7, der er udgivet på dagen for angrebet, som kompromitterede.
Denne sikkerhedshændelse understreger den kritiske betydning af robuste cybersikkerhedsforanstaltninger i den hurtige udvikling Web 3.0 domæne, hvor selv veletablerede værktøjer som Ledgers bibliotek ikke er immune over for sofistikerede cyberangreb.
Ansvarsfraskrivelse
I tråd med den Trust Project retningslinjer, bemærk venligst, at oplysningerne på denne side ikke er beregnet til at være og ikke skal fortolkes som juridiske, skattemæssige, investeringsmæssige, finansielle eller nogen anden form for rådgivning. Det er vigtigt kun at investere, hvad du har råd til at tabe, og at søge uafhængig finansiel rådgivning, hvis du er i tvivl. For yderligere information foreslår vi at henvise til vilkårene og betingelserne samt hjælpe- og supportsiderne fra udstederen eller annoncøren. MetaversePost er forpligtet til nøjagtig, objektiv rapportering, men markedsforholdene kan ændres uden varsel.
Om forfatteren
Nik er en dygtig analytiker og skribent på Metaverse Post, med speciale i at levere banebrydende indsigt i den hurtige teknologiverden med særlig vægt på AI/ML, XR, VR, on-chain analytics og blockchain-udvikling. Hans artikler engagerer og informerer et mangfoldigt publikum og hjælper dem med at være på forkant med den teknologiske kurve. Med en kandidatgrad i økonomi og ledelse har Nik et solidt greb om nuancerne i erhvervslivet og dens skæringspunkt med nye teknologier.
Flere artiklerNik er en dygtig analytiker og skribent på Metaverse Post, med speciale i at levere banebrydende indsigt i den hurtige teknologiverden med særlig vægt på AI/ML, XR, VR, on-chain analytics og blockchain-udvikling. Hans artikler engagerer og informerer et mangfoldigt publikum og hjælper dem med at være på forkant med den teknologiske kurve. Med en kandidatgrad i økonomi og ledelse har Nik et solidt greb om nuancerne i erhvervslivet og dens skæringspunkt med nye teknologier.