Η βιβλιοθήκη Ledger ConnectKit έχει παραβιαστεί με αποστραγγιστικό, που εγκυμονεί κινδύνους για την ασφάλεια Web3 Αιτήσεις
Εν συντομία
Παραβιάστηκε η βιβλιοθήκη ConnectKit του Ledger, αντικαθιστώντας το νόμιμο εργαλείο με ένα σενάριο drainer που εξέθεσε πολλά Web3 εφαρμογές.
Παραβίαση ασφαλείας σημειώθηκε στο Web3 σφαίρα, συμβιβάζοντας το Ledger ConnectKit βιβλιοθήκη, ζωτικής σημασίας για τη σύνδεση του Ledger Live με εφαρμογές. Αυτό το hack περιλαμβάνει την αντικατάσταση της βιβλιοθήκης με ένα σενάριο 'drainer', που αποτελεί σοβαρή απειλή για τα χρήματα των χρηστών.
Το παραβιασμένο πακέτο, ConnectKit —- φορτώνει αυτόματα ένα σενάριο JavaScript από το cdn.jsdelivr.net, το οποίο περιλαμβάνει ένα drainer, στο καθολικό εύρος.
Αυτή η διείσδυση έκανε ευάλωτη τη διεπαφή των εφαρμογών που χρησιμοποιούν αυτήν τη βιβλιοθήκη, ιδιαίτερα μετά την εξουσιοδότηση χρήστη. Οι αναφορές δείχνουν ότι οι εισβολείς έχουν αλλάξει το παράθυρο τρόπου σύνδεσης πορτοφολιού, θέτοντας σε κίνδυνο όλους τους κατόχους πορτοφολιών, όχι μόνο αυτούς που χρησιμοποιούν Ledger Live.
🚨Εντοπίσαμε και αφαιρέσαμε μια κακόβουλη έκδοση του Ledger Connect Kit. 🚨
- Καθολικό (@Ledger) Δεκέμβριος 14, 2023
Τώρα προωθείται μια γνήσια έκδοση για να αντικαταστήσει το κακόβουλο αρχείο. Μην αλληλεπιδράτε με καμία dApp προς το παρόν. Θα σας κρατάμε ενήμερους καθώς εξελίσσεται η κατάσταση.
Η συσκευή σας Ledger και…
Προειδοποιήσεις που εκδίδονται από το Ledger Ασφάλεια
Αξιοσημείωτοι ειδικοί σε θέματα ασφάλειας κρυπτονομισμάτων, συμπεριλαμβανομένου του banteg, επιβεβαίωσαν τον συμβιβασμό της βιβλιοθήκης Ledger και συμβουλεύουν να μην αλληλεπιδρούν με οποιεσδήποτε αποκεντρωμένες εφαρμογές (dApps) μέχρι να προκύψει περισσότερη σαφήνεια. Η ευπάθεια φαίνεται να επηρεάζει επίσης το ledger connect-kit-loader, καθώς καθορίζει χαλαρά την εξάρτηση.
Η επίθεση δυνητικά επηρεάζει ένα ευρύ φάσμα μερών, όπως υποδεικνύεται από μια λίστα επηρεαζόμενων βιβλιοθηκών και εφαρμογών που χρησιμοποιούν το @ledgerhq/connect-kit. Η πρόταση του Ledger για χρήση του connect-kit loader για τη φόρτωση του connect-kit επιδεινώνει το πρόβλημα, καθώς ακόμη και οι καρφιτσωμένες εκδόσεις του φορτωτή φέρνουν την πιο πρόσφατη έκδοση του connect-kit, οδηγώντας σε ευρεία διείσδυση.
🚨 Η βιβλιοθήκη του καθολικού επιβεβαιώθηκε ότι έχει παραβιαστεί και αντικαταστάθηκε με αποστραγγιστικό. περιμένετε να αλληλεπιδράσετε με οποιονδήποτε dapp μέχρι τα πράγματα να γίνουν πιο ξεκάθαρα.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) Δεκέμβριος 14, 2023
Οι εισβολείς κατάφεραν να θέσουν σε κίνδυνο έναν σημαντικό αριθμό βιβλιοθηκών στοχεύοντας μόνο το κιτ σύνδεσης. Ο Ledger προσδιορίζει την έκδοση 1.1.4 ως την τελευταία γνωστή ασφαλή έκδοση, αλλά θεωρεί ότι όλες οι εκδόσεις έως και την 1.1.7, που δημοσιεύτηκαν την ημέρα της επίθεσης, έχουν παραβιαστεί.
Αυτό το περιστατικό ασφαλείας υπογραμμίζει την κρίσιμη σημασία των ισχυρών μέτρων κυβερνοασφάλειας στο ταχέως εξελισσόμενο Web 3τομέα .0, όπου ακόμη και καθιερωμένα εργαλεία όπως η βιβλιοθήκη του Ledger δεν είναι απρόσβλητα από εξελιγμένες επιθέσεις στον κυβερνοχώρο.
Αποποίηση ευθυνών
Σύμφωνα με το Οδηγίες του έργου Trust, σημειώστε ότι οι πληροφορίες που παρέχονται σε αυτήν τη σελίδα δεν προορίζονται και δεν πρέπει να ερμηνεύονται ως νομικές, φορολογικές, επενδυτικές, χρηματοοικονομικές ή οποιαδήποτε άλλη μορφή συμβουλής. Είναι σημαντικό να επενδύσετε μόνο ό,τι έχετε την πολυτέλεια να χάσετε και να αναζητήσετε ανεξάρτητες οικονομικές συμβουλές εάν έχετε οποιεσδήποτε αμφιβολίες. Για περισσότερες πληροφορίες, προτείνουμε να ανατρέξετε στους όρους και τις προϋποθέσεις, καθώς και στις σελίδες βοήθειας και υποστήριξης που παρέχονται από τον εκδότη ή τον διαφημιστή. MetaversePost δεσμεύεται για ακριβείς, αμερόληπτες αναφορές, αλλά οι συνθήκες της αγοράς υπόκεινται σε αλλαγές χωρίς προειδοποίηση.
Σχετικά με το Συγγραφέας
Ο Νικ είναι καταξιωμένος αναλυτής και συγγραφέας στο Metaverse Post, που ειδικεύεται στην παροχή πρωτοποριακών πληροφοριών στον γρήγορο κόσμο της τεχνολογίας, με ιδιαίτερη έμφαση στην AI/ML, XR, VR, on-chain analytics και ανάπτυξη blockchain. Τα άρθρα του απασχολούν και ενημερώνουν ένα ποικίλο κοινό, βοηθώντας το να παραμείνουν μπροστά από την τεχνολογική καμπύλη. Κατέχοντας μεταπτυχιακό τίτλο στα Οικονομικά και τη Διοίκηση, ο Nik έχει μια σταθερή αντίληψη των αποχρώσεων του επιχειρηματικού κόσμου και της διασταύρωσής του με τις αναδυόμενες τεχνολογίες.
Περισσότερα άρθραΟ Νικ είναι καταξιωμένος αναλυτής και συγγραφέας στο Metaverse Post, που ειδικεύεται στην παροχή πρωτοποριακών πληροφοριών στον γρήγορο κόσμο της τεχνολογίας, με ιδιαίτερη έμφαση στην AI/ML, XR, VR, on-chain analytics και ανάπτυξη blockchain. Τα άρθρα του απασχολούν και ενημερώνουν ένα ποικίλο κοινό, βοηθώντας το να παραμείνουν μπροστά από την τεχνολογική καμπύλη. Κατέχοντας μεταπτυχιακό τίτλο στα Οικονομικά και τη Διοίκηση, ο Nik έχει μια σταθερή αντίληψη των αποχρώσεων του επιχειρηματικού κόσμου και της διασταύρωσής του με τις αναδυόμενες τεχνολογίες.