Knjižnica Ledger ConnectKit ugrožena programom za odvodnju, što predstavlja sigurnosne rizike Web3 Aplikacije
Ukratko
Ledgerova ConnectKit biblioteka je probijena, zamjenjujući legitimni alat sa skriptom za pražnjenje koja je otkrila brojne Web3 aplikacije.
Došlo je do povrede sigurnosti u Web3 sfera, ugrožavajući Ledger ConnectKit knjižnica, ključna za povezivanje Ledger Livea s aplikacijama. Ovo hakiranje uključuje zamjenu biblioteke skriptom 'drainer', što predstavlja ozbiljnu prijetnju korisničkim sredstvima.
Kompromitirani paket, ConnectKit —- automatski učitava JavaScript skriptu s cdn.jsdelivr.net, koja uključuje odvodnik, u globalni opseg.
Ova je infiltracija učinila sučelje aplikacija koje koriste ovu biblioteku ranjivim, osobito nakon autorizacije korisnika. Izvješća pokazuju da su napadači promijenili modalni prozor povezivanja novčanika, dovodeći u opasnost sve vlasnike novčanika, a ne samo one koji koriste Knjiga uživo.
🚨Identificirali smo i uklonili zlonamjernu verziju Ledger Connect Kit-a. 🚨
- knjiga (@ knjiga) Prosinac 14, 2023
Sada se postavlja originalna verzija koja će zamijeniti zlonamjernu datoteku. Trenutačno nemojte komunicirati ni s jednom dApps. Obavještavat ćemo vas kako se situacija bude razvijala.
Vaš Ledger uređaj i…
Upozorenja izdana od strane Ledgera Sigurnost
Značajni stručnjaci za sigurnost kriptovaluta, uključujući bantega, potvrdili su kompromis knjižnice Ledger i savjetuju protiv interakcija s bilo kakvim decentraliziranim aplikacijama (dApps) dok ne postane više jasnoće. Čini se da ranjivost također utječe na Ledger Connect-Kit-loader, budući da labavo navodi ovisnost.
Napad potencijalno utječe na širok raspon strana, kao što je naznačeno popisom pogođenih biblioteka i aplikacija koje koriste @ledgerhq/connect-kit. Ledgerov prijedlog da se koristi connect-kit loader za učitavanje connect-kit-a pogoršava problem, jer čak i prikvačene verzije loadera dohvaćaju najnoviju verziju connect-kit-a, što dovodi do raširene infiltracije.
🚨 Knjižnica glavne knjige potvrđeno je da je ugrožena i zamijenjena odvodnikom. pričekajte s interakcijom s bilo kojim dapp-om dok stvari ne postanu jasnije.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) Prosinac 14, 2023
Napadači su uspjeli kompromitirati značajan broj knjižnica ciljajući samo na komplet za povezivanje. Ledger identificira verziju 1.1.4 kao posljednje poznato sigurno izdanje, ali sva izdanja do 1.1.7, objavljena na dan napada, smatra ugroženima.
Ovaj sigurnosni incident naglašava kritičnu važnost robusnih mjera kibernetičke sigurnosti u brzom razvoju Web 3.0 domenu, gdje čak ni dobro etablirani alati poput Ledgerove knjižnice nisu imuni na sofisticirane cyber napade.
Izjava o odricanju od odgovornosti
U skladu s Smjernice projekta povjerenja, imajte na umu da informacije navedene na ovoj stranici nemaju namjeru i ne smiju se tumačiti kao pravni, porezni, investicijski, financijski ili bilo koji drugi oblik savjeta. Važno je ulagati samo ono što si možete priuštiti izgubiti i potražiti neovisni financijski savjet ako imate bilo kakvih nedoumica. Za dodatne informacije predlažemo da pogledate odredbe i uvjete, kao i stranice za pomoć i podršku koje pruža izdavatelj ili oglašivač. MetaversePost je predan točnom, nepristranom izvješćivanju, ali tržišni uvjeti podložni su promjenama bez prethodne najave.
O autoru
Nik je vrsni analitičar i pisac na Metaverse Post, specijaliziran za pružanje vrhunskih uvida u brzi svijet tehnologije, s posebnim naglaskom na AI/ML, XR, VR, on-chain analitiku i blockchain razvoj. Njegovi članci angažiraju i informiraju raznoliku publiku, pomažući im da budu ispred tehnološke krivulje. Posjedujući magisterij iz ekonomije i menadžmenta, Nik dobro razumije nijanse poslovnog svijeta i njegovo raskrižje s novim tehnologijama.
Više članakaNik je vrsni analitičar i pisac na Metaverse Post, specijaliziran za pružanje vrhunskih uvida u brzi svijet tehnologije, s posebnim naglaskom na AI/ML, XR, VR, on-chain analitiku i blockchain razvoj. Njegovi članci angažiraju i informiraju raznoliku publiku, pomažući im da budu ispred tehnološke krivulje. Posjedujući magisterij iz ekonomije i menadžmenta, Nik dobro razumije nijanse poslovnog svijeta i njegovo raskrižje s novim tehnologijama.