Ledger ConnectKiti raamatukogu on ohustatud äravoolutoruga, mis kujutab endast turvariske Web3 Apps
Põgusalt
Ledgeri ConnectKiti teeki rikuti, asendades seadusliku tööriista tühjendusskriptiga, mis paljastas palju Web3 apps.
aastal toimus turvarikkumine Web3 sfääri, kompromiteerides Ledger ConnectKit raamatukogu, mis on ülioluline Ledger Live'i sidumiseks rakendustega. See häkkimine hõlmab raamatukogu asendamist "dreneri" skriptiga, mis kujutab tõsist ohtu kasutajate rahalistele vahenditele.
Ohustatud pakett ConnectKit laadib veebisaidilt cdn.jsdelivr.net automaatselt JavaScripti skripti, mis sisaldab äravoolu, globaalsesse ulatusse.
See sissetungimine muutis seda teeki kasutavate rakenduste esiserva haavatavaks, eriti pärast kasutaja autoriseerimist. Aruanded näitavad, et ründajad on muutnud rahakotiühenduse modaalset akent, pannes ohtu kõik rahakoti omanikud, mitte ainult need, kes kasutavad Ledger Live.
🚨Oleme tuvastanud ja eemaldanud Ledger Connect Kit pahatahtliku versiooni. 🚨
- Pearaamat (@Ledger) Detsember 14, 2023
Pahatahtliku faili asendamiseks surutakse nüüd ehtne versioon. Ärge praegu suhtlege ühegi dAppiga. Hoiame teid olukorra arenemisega kursis.
Teie Ledger seade ja…
Ledgeri väljastatud hoiatused TURVALISUS
Märkimisväärsed krüptovaluutade turvaeksperdid, sealhulgas banteg, on kinnitanud Ledgeri raamatukogu kompromissi ja soovitavad hoiduda interaktsioonidest mis tahes detsentraliseeritud rakendustega (dApps), kuni selgus. Tundub, et haavatavus mõjutab ka pearaamatu connect-kit-loaderit, kuna see määrab sõltuvuse lõdvalt.
Rünnak võib potentsiaalselt mõjutada paljusid osapooli, nagu näitab loendit mõjutatud raamatukogudest ja rakendustest, mis kasutavad @ledgerhq/connect-kit. Ledgeri soovitus kasutada connect-kit laadijat connect-kit laadimiseks süvendab probleemi, kuna isegi laaduri kinnitatud versioonid toovad kaasa ühenduse komplekti uusima versiooni, mis toob kaasa laialdase sissetungimise.
🚨 Pearaamatukogu kinnitas, et see on ohus ja asendatud äravooluga. oodake dappidega suhtlemisel, kuni asjad saavad selgemaks.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) Detsember 14, 2023
Ründajatel on õnnestunud ohustada märkimisväärset hulka teeke, sihites ainult ühenduskomplekti. Ledger tuvastab versiooni 1.1.4 kui viimast teadaolevat ohutut väljalaset, kuid loeb kõik väljalasked kuni versioonini 1.1.7, mis postitati rünnaku päeval, ohustatuks.
See turvaintsident rõhutab tugevate küberjulgeolekumeetmete kriitilist tähtsust kiiresti arenevas Web 3.0 domeen, kus isegi väljakujunenud tööriistad, nagu Ledgeri teek, ei ole keerukate küberrünnakute suhtes immuunsed.
Kaebused
Vastavalt Usaldusprojekti juhised, pange tähele, et sellel lehel esitatud teave ei ole mõeldud ega tohiks tõlgendada kui juriidilist, maksu-, investeerimis-, finants- või muud nõuannet. Oluline on investeerida ainult seda, mida saate endale lubada kaotada, ja kahtluste korral küsida sõltumatut finantsnõu. Lisateabe saamiseks soovitame vaadata nõudeid ja tingimusi ning väljaandja või reklaamija pakutavaid abi- ja tugilehti. MetaversePost on pühendunud täpsele ja erapooletule aruandlusele, kuid turutingimusi võidakse ette teatamata muuta.
Umbes Autor
Nik on tunnustatud analüütik ja kirjanik Metaverse Post, mis on spetsialiseerunud tipptasemel arusaamade pakkumisele kiires tempos tehnoloogiamaailmas, pöörates erilist tähelepanu AI/ML-ile, XR-ile, VR-ile, ahelasisesele analüüsile ja plokiahela arendamisele. Tema artiklid kaasavad ja teavitavad mitmekesist publikut, aidates neil tehnoloogilisest kõverast ees püsida. Majanduse ja juhtimise magistrikraadi omaval Nikil on kindel arusaam ärimaailma nüanssidest ja selle lõikumisest esilekerkivate tehnoloogiatega.
Veel artikleidNik on tunnustatud analüütik ja kirjanik Metaverse Post, mis on spetsialiseerunud tipptasemel arusaamade pakkumisele kiires tempos tehnoloogiamaailmas, pöörates erilist tähelepanu AI/ML-ile, XR-ile, VR-ile, ahelasisesele analüüsile ja plokiahela arendamisele. Tema artiklid kaasavad ja teavitavad mitmekesist publikut, aidates neil tehnoloogilisest kõverast ees püsida. Majanduse ja juhtimise magistrikraadi omaval Nikil on kindel arusaam ärimaailma nüanssidest ja selle lõikumisest esilekerkivate tehnoloogiatega.