A Ledger ConnectKit könyvtárat egy lefolyó veszélyezteti, és biztonsági kockázatot jelent Web3 Apps
Röviden
A Ledger ConnectKit könyvtárát megsértették, és a törvényes eszközt lecserélték egy leürítő szkriptre, amely számos Web3 apps.
A biztonság megsértése történt a Web3 gömb, veszélyeztetve a Ledger ConnectKit könyvtár, amely elengedhetetlen a Ledger Live és az alkalmazások összekapcsolásához. Ez a feltörés magában foglalja a könyvtár lecserélését egy „drainer” szkriptre, ami komoly veszélyt jelent a felhasználói pénzekre.
A feltört ConnectKit csomag – automatikusan betölt egy JavaScript-szkriptet a cdn.jsdelivr.net webhelyről, amely egy leürítőt is tartalmaz a globális hatókörbe.
Ez a behatolás sebezhetővé tette az ezt a könyvtárat használó alkalmazások frontendjét, különösen a felhasználói engedélyezés után. A jelentések azt mutatják, hogy a támadók megváltoztatták a pénztárca-kapcsolat modális ablakát, így az összes pénztárcatulajdonost veszélybe sodorták, nem csak a használókat. Ledger Live.
🚨A Ledger Connect Kit rosszindulatú verzióját azonosítottuk és eltávolítottuk. 🚨
- Főkönyv (@Ledger) December 14, 2023
A rosszindulatú fájl helyére most egy eredeti verziót küldenek. Pillanatnyilag ne kommunikáljon semmilyen dApp-szal. A helyzet alakulásáról folyamatosan tájékoztatjuk Önöket.
Az Ön Ledger készüléke és…
A Ledger által kiadott figyelmeztetések Biztonság
Jelentős kriptovaluta biztonsági szakértők, köztük a banteg, megerősítették a Ledger könyvtár kompromisszumát, és nem tanácsolják a decentralizált alkalmazásokkal való interakciót (dApps) egészen addig, amíg tisztább nem lesz. Úgy tűnik, hogy a sebezhetőség a főkönyvi connect-kit-loader alkalmazást is érinti, mivel lazán határozza meg a függőséget.
A támadás potenciálisan a felek széles körét érintheti, amint azt az érintett könyvtárak és alkalmazások listája jelzi @ledgerhq/connect-kit. Ledger javaslata a connect-kit betöltő használatára a connect-kit betöltésére súlyosbítja a problémát, mivel még a betöltő rögzített verziói is letöltik a connect-kit legújabb verzióját, ami széles körben elterjedt beszivárgáshoz vezet.
🚨 A főkönyvtár megerősítette, hogy kompromittálódott, és lefolyóra cserélték. várjon a dapp-okkal való interakcióval, amíg a dolgok világosabbá válnak.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) December 14, 2023
A támadóknak jelentős számú könyvtárat sikerült kompromittálniuk azzal, hogy csak a csatlakozókészletet célozták meg. A Ledger az 1.1.4-es verziót azonosítja az utolsó ismert biztonságos kiadásként, de az 1.1.7-ig terjedő, a támadás napján közzétett összes kiadást veszélyeztetettnek tekinti.
Ez a biztonsági incidens rávilágít a robusztus kiberbiztonsági intézkedések kritikus fontosságára a gyorsan fejlődő világban. Web 3.0 tartomány, ahol még a jól bevált eszközök, például a Ledger könyvtára sem mentesek a kifinomult kibertámadásoktól.
A felelősség megtagadása
Összhangban a A Trust Project irányelvei, kérjük, vegye figyelembe, hogy az ezen az oldalon közölt információk nem minősülnek jogi, adózási, befektetési, pénzügyi vagy bármilyen más formájú tanácsnak, és nem is értelmezhetők. Fontos, hogy csak annyit fektessen be, amennyit megengedhet magának, hogy elveszítsen, és kérjen független pénzügyi tanácsot, ha kétségei vannak. További információkért javasoljuk, hogy tekintse meg a szerződési feltételeket, valamint a kibocsátó vagy hirdető által biztosított súgó- és támogatási oldalakat. MetaversePost elkötelezett a pontos, elfogulatlan jelentéstétel mellett, de a piaci feltételek előzetes értesítés nélkül változhatnak.
A szerzőről
Nik kiváló elemző és író a cégnél Metaverse Post, amely arra specializálódott, hogy élvonalbeli betekintést nyújtson a technológia rohanó világába, különös tekintettel az AI/ML-re, az XR-re, a VR-re, a láncon belüli elemzésekre és a blokklánc-fejlesztésre. Cikkei sokszínű közönséget vonzanak és tájékoztatnak, segítve őket a technológiai görbe előtt maradni. A közgazdasági és menedzsment mesterfokozattal rendelkező Nik szilárdan ismeri az üzleti világ árnyalatait és annak metszéspontját a feltörekvő technológiákkal.
További cikkekNik kiváló elemző és író a cégnél Metaverse Post, amely arra specializálódott, hogy élvonalbeli betekintést nyújtson a technológia rohanó világába, különös tekintettel az AI/ML-re, az XR-re, a VR-re, a láncon belüli elemzésekre és a blokklánc-fejlesztésre. Cikkei sokszínű közönséget vonzanak és tájékoztatnak, segítve őket a technológiai görbe előtt maradni. A közgazdasági és menedzsment mesterfokozattal rendelkező Nik szilárdan ismeri az üzleti világ árnyalatait és annak metszéspontját a feltörekvő technológiákkal.