کتابخانه Ledger ConnectKit با یک تخلیه کننده به خطر افتاده است که خطرات امنیتی را برای آن به همراه دارد Web3 نرم افزار
به طور خلاصه
کتابخانه ConnectKit لجر نقض شد و ابزار قانونی را با یک اسکریپت تخلیه کننده جایگزین کرد که تعداد زیادی را در معرض دید قرار داد. Web3 نرم افزار.
یک نقض امنیتی در Web3 کره، به خطر انداختن Ledger ConnectKit کتابخانه، برای پیوند Ledger Live با برنامه ها بسیار مهم است. این هک شامل جایگزینی کتابخانه با یک اسکریپت تخلیه کننده است که تهدیدی جدی برای سرمایه کاربر است.
بسته در معرض خطر، ConnectKit —- به طور خودکار یک اسکریپت جاوا اسکریپت را از cdn.jsdelivr.net، که شامل یک تخلیه کننده است، در محدوده جهانی بارگیری می کند.
این نفوذ، جلوی برنامه های کاربردی با استفاده از این کتابخانه را آسیب پذیر کرد، به ویژه پس از مجوز کاربر. گزارش ها نشان می دهد که مهاجمان پنجره مودال اتصال کیف پول را تغییر داده اند و همه دارندگان کیف پول را در معرض خطر قرار داده اند، نه فقط کسانی که از آن استفاده می کنند. لجر زنده.
🚨ما یک نسخه مخرب از Ledger Connect Kit را شناسایی و حذف کردیم. 🚨
- لجر (Ledger) دسامبر 14، 2023
در حال حاضر نسخه اصلی برای جایگزینی فایل مخرب در حال انجام است. فعلاً با هیچ dApps تعامل نداشته باشید. در صورت تغییر وضعیت شما را در جریان خواهیم گذاشت.
دستگاه لجر شما و…
هشدارهای صادر شده توسط لجر دوربین های مداربسته
کارشناسان مهم امنیت ارزهای دیجیتال، از جمله banteg، سازش کتابخانه لجر را تایید کردهاند و توصیه میکنند که با هر گونه برنامه غیرمتمرکز تعامل نداشته باشید.dApps) تا زمانی که وضوح بیشتری پیدا شود. به نظر میرسد که این آسیبپذیری بر روی ledger connect-kit-loader نیز تأثیر میگذارد، زیرا وابستگی را به طور ضعیف مشخص میکند.
این حمله به طور بالقوه طیف گسترده ای از طرف ها را تحت تأثیر قرار می دهد، همانطور که با لیستی از کتابخانه ها و برنامه های کاربردی تحت تأثیر استفاده از @ledgerhq/connect-kit. پیشنهاد Ledger برای استفاده از اتصال کیت لودر برای بارگذاری کانکت کیت این موضوع را تشدید می کند، زیرا حتی نسخه های پین شده لودر آخرین نسخه کانکت کیت را دریافت می کنند که منجر به نفوذ گسترده می شود.
🚨 کتابخانه دفتر تایید شد که به خطر افتاده و با یک آبچکان جایگزین شده است. منتظر بمانید تا با هر داپی تعامل داشته باشید تا همه چیز واضح تر شود.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (bantg) دسامبر 14، 2023
مهاجمان تنها با هدف قرار دادن اتصال-کیت موفق به به خطر انداختن تعداد قابل توجهی از کتابخانه ها شده اند. لجر نسخه 1.1.4 را به عنوان آخرین نسخه ایمن شناخته شده معرفی می کند، اما همه نسخه های تا 1.1.7 را که در روز حمله ارسال شده اند، به خطر انداخته می داند.
این حادثه امنیتی بر اهمیت حیاتی اقدامات امنیت سایبری قوی در تحولات سریع تاکید می کند. Web 3دامنه .0، که در آن حتی ابزارهای تثبیت شده مانند کتابخانه لجر نیز از حملات سایبری پیچیده در امان نیستند.
سلب مسئولیت
در خط با دستورالعمل های پروژه اعتماد، لطفاً توجه داشته باشید که اطلاعات ارائه شده در این صفحه به عنوان مشاوره حقوقی، مالیاتی، سرمایه گذاری، مالی یا هر شکل دیگری در نظر گرفته نشده است و نباید تفسیر شود. مهم است که فقط در موردی سرمایه گذاری کنید که توانایی از دست دادن آن را دارید و در صورت شک و تردید به دنبال مشاوره مالی مستقل باشید. برای کسب اطلاعات بیشتر، پیشنهاد می کنیم به شرایط و ضوابط و همچنین صفحات راهنمایی و پشتیبانی ارائه شده توسط صادرکننده یا تبلیغ کننده مراجعه کنید. MetaversePost متعهد به گزارش دقیق و بی طرفانه است، اما شرایط بازار بدون اطلاع قبلی ممکن است تغییر کند.
درباره نویسنده
نیک یک تحلیلگر و نویسنده ماهر است Metaverse Post، متخصص در ارائه بینش های پیشرفته در دنیای پرسرعت فناوری، با تاکید ویژه بر AI/ML، XR، VR، تجزیه و تحلیل درون زنجیره ای و توسعه بلاک چین. مقالات او مخاطبان متنوعی را درگیر می کند و به آنها اطلاع می دهد و به آنها کمک می کند تا از منحنی فناوری جلوتر بمانند. نیک با داشتن مدرک کارشناسی ارشد در اقتصاد و مدیریت، درک کاملی از تفاوت های ظریف دنیای تجارت و تلاقی آن با فناوری های نوظهور دارد.
مقالات بیشترنیک یک تحلیلگر و نویسنده ماهر است Metaverse Post، متخصص در ارائه بینش های پیشرفته در دنیای پرسرعت فناوری، با تاکید ویژه بر AI/ML، XR، VR، تجزیه و تحلیل درون زنجیره ای و توسعه بلاک چین. مقالات او مخاطبان متنوعی را درگیر می کند و به آنها اطلاع می دهد و به آنها کمک می کند تا از منحنی فناوری جلوتر بمانند. نیک با داشتن مدرک کارشناسی ارشد در اقتصاد و مدیریت، درک کاملی از تفاوت های ظریف دنیای تجارت و تلاقی آن با فناوری های نوظهور دارد.