La biblioteca Ledger ConnectKit está comprometida con un drenaje, lo que plantea riesgos de seguridad para Web3 Apps
En Resumen
La biblioteca ConnectKit de Ledger fue violada, reemplazando la herramienta legítima con un script agotador que expuso numerosos Web3 aplicaciones.
Se produjo una brecha de seguridad en el Web3 esfera, comprometiendo la Kit de conexión de libro mayor biblioteca, crucial para vincular Ledger Live con las aplicaciones. Este truco implica el reemplazo de la biblioteca con un script "drenador", lo que representa una seria amenaza para los fondos de los usuarios.
El paquete comprometido, ConnectKit, carga automáticamente un script JavaScript desde cdn.jsdelivr.net, que incluye un drenaje, en el ámbito global.
Esta infiltración hizo vulnerable la interfaz de las aplicaciones que usaban esta biblioteca, particularmente después de la autorización del usuario. Los informes indican que los atacantes han alterado la ventana modal de conexión de la billetera, poniendo en riesgo a todos los propietarios de la billetera, no solo a los que la usan. Ledger Live.
🚨Hemos identificado y eliminado una versión maliciosa del kit Ledger Connect. 🚨
- Libro mayor (@Ledger) 14 de diciembre de 2023
Ahora se está publicando una versión genuina para reemplazar el archivo malicioso. No interactúes con ninguna dApp por el momento. Le mantendremos informado a medida que evolucione la situación.
Su dispositivo Ledger y...
Advertencias emitidas por Ledger Seguridad
Notables expertos en seguridad de criptomonedas, incluido Banteg, han confirmado el compromiso de la biblioteca Ledger y desaconsejan las interacciones con cualquier aplicación descentralizada (dApps) hasta que surja más claridad. La vulnerabilidad parece afectar también al libro mayor connect-kit-loader, ya que especifica la dependencia de manera vaga.
El ataque potencialmente afecta a una amplia gama de partes, como lo indica una lista de bibliotecas y aplicaciones afectadas que utilizan el @ledgerhq/kit-conectar. La sugerencia de Ledger de usar el cargador connect-kit para cargar connect-kit exacerba el problema, ya que incluso las versiones fijadas del cargador obtienen la última versión de connect-kit, lo que lleva a una infiltración generalizada.
🚨 La biblioteca del libro mayor confirmó que estaba comprometida y fue reemplazada por un escurridor. Espere a interactuar con cualquier dapp hasta que las cosas se aclaren.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) 14 de diciembre de 2023
Los atacantes han logrado comprometer una cantidad significativa de bibliotecas apuntando solo al kit de conexión. Ledger identifica la versión 1.1.4 como la última versión segura conocida, pero considera que todas las versiones hasta la 1.1.7, publicadas el día del ataque, están comprometidas.
Este incidente de seguridad subraya la importancia crítica de medidas sólidas de ciberseguridad en la rápida evolución. Web 3.0, donde incluso herramientas bien establecidas como la biblioteca de Ledger no son inmunes a ataques cibernéticos sofisticados.
Observación
En línea con la Directrices del Proyecto Confianza, tenga en cuenta que la información proporcionada en esta página no pretende ser ni debe interpretarse como asesoramiento legal, fiscal, de inversión, financiero o de cualquier otro tipo. Es importante invertir sólo lo que pueda permitirse perder y buscar asesoramiento financiero independiente si tiene alguna duda. Para mayor información sugerimos consultar los términos y condiciones así como las páginas de ayuda y soporte proporcionadas por el emisor o anunciante. MetaversePost se compromete a brindar informes precisos e imparciales, pero las condiciones del mercado están sujetas a cambios sin previo aviso.
Sobre el Autor
Nik es un consumado analista y escritor en Metaverse Post, que se especializa en brindar información de vanguardia sobre el vertiginoso mundo de la tecnología, con un énfasis particular en AI/ML, XR, VR, análisis en cadena y desarrollo de blockchain. Sus artículos atraen e informan a una audiencia diversa, ayudándoles a mantenerse a la vanguardia de la tecnología. Con una Maestría en Economía y Administración, Nik tiene una comprensión sólida de los matices del mundo de los negocios y su intersección con las tecnologías emergentes.
Más artículosNik es un consumado analista y escritor en Metaverse Post, que se especializa en brindar información de vanguardia sobre el vertiginoso mundo de la tecnología, con un énfasis particular en AI/ML, XR, VR, análisis en cadena y desarrollo de blockchain. Sus artículos atraen e informan a una audiencia diversa, ayudándoles a mantenerse a la vanguardia de la tecnología. Con una Maestría en Economía y Administración, Nik tiene una comprensión sólida de los matices del mundo de los negocios y su intersección con las tecnologías emergentes.