Die Ledger ConnectKit-Bibliothek wurde durch einen Drainer kompromittiert, was ein Sicherheitsrisiko darstellt Web3 Apps
In Kürze
Die ConnectKit-Bibliothek von Ledger wurde gehackt und das legitime Tool durch ein Drainer-Skript ersetzt, das zahlreiche Schwachstellen offenlegte Web3 Apps.
Es kam zu einer Sicherheitsverletzung Web3 Sphäre, die die beeinträchtigt Ledger ConnectKit Bibliothek, entscheidend für die Verknüpfung von Ledger Live mit Anwendungen. Bei diesem Hack wird die Bibliothek durch ein „Drainer“-Skript ersetzt, was eine ernsthafte Bedrohung für die Gelder der Benutzer darstellt.
Das kompromittierte Paket ConnectKit lädt automatisch ein JavaScript-Skript von cdn.jsdelivr.net, das einen Drainer enthält, in den globalen Bereich.
Diese Infiltration machte das Frontend von Anwendungen, die diese Bibliothek nutzen, angreifbar, insbesondere nach der Benutzerautorisierung. Berichten zufolge haben Angreifer das modale Verbindungsfenster der Wallet verändert und damit alle Wallet-Besitzer gefährdet, nicht nur diejenigen, die sie nutzen Ledger Live.
🚨Wir haben eine schädliche Version des Ledger Connect Kit identifiziert und entfernt. 🚨
- Ledger (@Ledger) 14. Dezember 2023
Eine Originalversion wird derzeit als Ersatz für die Schaddatei angeboten. Interagieren Sie im Moment nicht mit dApps. Wir werden Sie über die Entwicklung der Situation auf dem Laufenden halten.
Ihr Ledger-Gerät und…
Von Ledger ausgegebene Warnungen Sicherheit
Namhafte Sicherheitsexperten für Kryptowährungen, darunter Banteg, haben die Kompromittierung der Ledger-Bibliothek bestätigt und raten von Interaktionen mit dezentralen Anwendungen ab (dApps), bis mehr Klarheit entsteht. Die Schwachstelle scheint auch den Ledger Connect-Kit-Loader zu betreffen, da er die Abhängigkeit nur lose angibt.
Der Angriff betrifft möglicherweise eine Vielzahl von Parteien, wie aus einer Liste der betroffenen Bibliotheken und Anwendungen hervorgeht, die das verwenden @ledgerhq/connect-kit. Der Vorschlag von Ledger, den Connect-Kit-Loader zum Laden des Connect-Kits zu verwenden, verschärft das Problem, da selbst gepinnte Versionen des Loaders die neueste Version von Connect-Kit abrufen, was zu einer weit verbreiteten Infiltration führt.
🚨 Die Hauptbuchbibliothek wurde als kompromittiert bestätigt und durch einen Drainer ersetzt. Warten Sie mit der Interaktion mit Dapps, bis die Dinge klarer werden.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) 14. Dezember 2023
Angreifer haben es geschafft, eine beträchtliche Anzahl von Bibliotheken zu kompromittieren, indem sie nur das Connect-Kit ins Visier genommen haben. Ledger identifiziert Version 1.1.4 als die letzte bekannte sichere Version, betrachtet jedoch alle Versionen bis 1.1.7, die am Tag des Angriffs veröffentlicht wurden, als kompromittiert.
Dieser Sicherheitsvorfall unterstreicht die entscheidende Bedeutung robuster Cybersicherheitsmaßnahmen in der sich schnell entwickelnden Welt Web 3.0-Domain, wo selbst etablierte Tools wie die Bibliothek von Ledger nicht vor raffinierten Cyberangriffen gefeit sind.
Haftungsausschluss
Im Einklang mit der Richtlinien des Trust-ProjektsBitte beachten Sie, dass die auf dieser Seite bereitgestellten Informationen nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung gedacht sind und nicht als solche interpretiert werden sollten. Es ist wichtig, nur so viel zu investieren, wie Sie sich leisten können, zu verlieren, und im Zweifelsfall eine unabhängige Finanzberatung einzuholen. Für weitere Informationen empfehlen wir einen Blick auf die Allgemeinen Geschäftsbedingungen sowie die Hilfe- und Supportseiten des Herausgebers oder Werbetreibenden. MetaversePost ist einer genauen, unvoreingenommenen Berichterstattung verpflichtet, die Marktbedingungen können sich jedoch ohne Vorankündigung ändern.
Über den Autor
Nik ist ein versierter Analyst und Autor bei Metaverse Post, spezialisiert auf die Bereitstellung modernster Einblicke in die schnelllebige Welt der Technologie, mit besonderem Schwerpunkt auf KI/ML, XR, VR, On-Chain-Analyse und Blockchain-Entwicklung. Seine Artikel fesseln und informieren ein vielfältiges Publikum und helfen ihm, technologisch immer einen Schritt voraus zu sein. Nik verfügt über einen Master-Abschluss in Wirtschaftswissenschaften und Management und verfügt über ein fundiertes Gespür für die Nuancen der Geschäftswelt und deren Überschneidung mit neuen Technologien.
Weitere ArtikelNik ist ein versierter Analyst und Autor bei Metaverse Post, spezialisiert auf die Bereitstellung modernster Einblicke in die schnelllebige Welt der Technologie, mit besonderem Schwerpunkt auf KI/ML, XR, VR, On-Chain-Analyse und Blockchain-Entwicklung. Seine Artikel fesseln und informieren ein vielfältiges Publikum und helfen ihm, technologisch immer einen Schritt voraus zu sein. Nik verfügt über einen Master-Abschluss in Wirtschaftswissenschaften und Management und verfügt über ein fundiertes Gespür für die Nuancen der Geschäftswelt und deren Überschneidung mit neuen Technologien.