Bibliothèque Ledger ConnectKit compromise avec un draineur, posant des risques de sécurité pour Web3 Applications
En bref
La bibliothèque ConnectKit de Ledger a été violée, remplaçant l'outil légitime par un script draineur qui exposait de nombreuses Web3 applications.
Une faille de sécurité s'est produite dans le Web3 sphère, compromettant la Kit de connexion au grand livre bibliothèque, cruciale pour relier Ledger Live aux applications. Ce piratage implique le remplacement de la bibliothèque par un script « draineur », ce qui constitue une menace sérieuse pour les fonds des utilisateurs.
Le package compromis, ConnectKit — charge automatiquement un script JavaScript de cdn.jsdelivr.net, qui inclut un draineur, dans la portée globale.
Cette infiltration a rendu vulnérable le frontend des applications utilisant cette bibliothèque, notamment après autorisation de l'utilisateur. Les rapports indiquent que les attaquants ont modifié la fenêtre modale de connexion du portefeuille, mettant ainsi en danger tous les propriétaires de portefeuille, pas seulement ceux qui l'utilisent. Ledger Live.
🚨Nous avons identifié et supprimé une version malveillante du Ledger Connect Kit. 🚨
- Grand livre (@Ledger) 14 décembre 2023
Une version authentique est désormais proposée pour remplacer le fichier malveillant. N’interagissez avec aucune dApp pour le moment. Nous vous tiendrons informés au fur et à mesure de l'évolution de la situation.
Votre appareil Ledger et…
Avertissements émis par Ledger Sécurité
Des experts notables en sécurité des cryptomonnaies, dont banteg, ont confirmé la compromission de la bibliothèque Ledger et déconseillent les interactions avec toute application décentralisée (dApps) jusqu'à ce que plus de clarté émerge. La vulnérabilité semble également affecter le chargeur de kit de connexion du grand livre, car il spécifie la dépendance de manière vague.
L'attaque a potentiellement un impact sur un large éventail de parties, comme l'indique une liste de bibliothèques et d'applications affectées utilisant le @ledgerhq/connect-kit. La suggestion de Ledger d'utiliser le chargeur connect-kit pour charger connect-kit exacerbe le problème, car même les versions épinglées du chargeur récupèrent la dernière version de connect-kit, conduisant à une infiltration généralisée.
🚨 La bibliothèque du grand livre a été confirmée compromise et remplacée par un draineur. attendez d'interagir avec les dapps jusqu'à ce que les choses deviennent plus claires.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) 14 décembre 2023
Les attaquants ont réussi à compromettre un nombre important de bibliothèques en ciblant uniquement le kit de connexion. Ledger identifie la version 1.1.4 comme la dernière version sûre connue, mais considère toutes les versions jusqu'à la 1.1.7, publiées le jour de l'attaque, comme compromises.
Cet incident de sécurité souligne l’importance cruciale de mesures de cybersécurité robustes dans un contexte en évolution rapide. Web 3.0, où même des outils bien établis comme la bibliothèque de Ledger ne sont pas à l'abri de cyberattaques sophistiquées.
Clause de non-responsabilité
En ligne avec la Lignes directrices du projet de confiance, veuillez noter que les informations fournies sur cette page ne sont pas destinées à être et ne doivent pas être interprétées comme des conseils juridiques, fiscaux, d'investissement, financiers ou toute autre forme de conseil. Il est important d’investir uniquement ce que vous pouvez vous permettre de perdre et de demander des conseils financiers indépendants en cas de doute. Pour plus d'informations, nous vous suggérons de vous référer aux conditions générales ainsi qu'aux pages d'aide et de support mises à disposition par l'émetteur ou l'annonceur. MetaversePost s'engage à fournir des rapports précis et impartiaux, mais les conditions du marché sont susceptibles de changer sans préavis.
A propos de l'auteur
Nik est un analyste et écrivain accompli à Metaverse Post, spécialisée dans la fourniture d'informations de pointe sur le monde en évolution rapide de la technologie, avec un accent particulier sur l'IA/ML, la XR, la VR, l'analyse en chaîne et le développement de la blockchain. Ses articles engagent et informent un public diversifié, les aidant à garder une longueur d'avance sur la courbe technologique. Titulaire d'une maîtrise en économie et gestion, Nik possède une solide compréhension des nuances du monde des affaires et de son intersection avec les technologies émergentes.
Plus d'articlesNik est un analyste et écrivain accompli à Metaverse Post, spécialisée dans la fourniture d'informations de pointe sur le monde en évolution rapide de la technologie, avec un accent particulier sur l'IA/ML, la XR, la VR, l'analyse en chaîne et le développement de la blockchain. Ses articles engagent et informent un public diversifié, les aidant à garder une longueur d'avance sur la courbe technologique. Titulaire d'une maîtrise en économie et gestion, Nik possède une solide compréhension des nuances du monde des affaires et de son intersection avec les technologies émergentes.