Perpustakaan Ledger ConnectKit Disusupi dengan Drainer, Menimbulkan Risiko Keamanan Web3 Apps
Singkatnya
Pustaka ConnectKit Ledger telah dibobol, menggantikan alat yang sah dengan skrip drainer yang mengekspos banyak hal Web3 aplikasi.
Pelanggaran keamanan terjadi di Web3 bola, mengorbankan Buku Besar ConnectKit perpustakaan, penting untuk menghubungkan Ledger Live dengan aplikasi. Peretasan ini melibatkan penggantian perpustakaan dengan skrip 'penguras', sehingga menimbulkan ancaman serius terhadap dana pengguna.
Paket yang disusupi, ConnectKit —- secara otomatis memuat skrip JavaScript dari cdn.jsdelivr.net, yang menyertakan drainer, ke dalam cakupan global.
Infiltrasi ini membuat frontend aplikasi yang menggunakan perpustakaan ini rentan, terutama setelah otorisasi pengguna. Laporan menunjukkan bahwa penyerang telah mengubah jendela modal koneksi dompet, sehingga membahayakan semua pemilik dompet, bukan hanya mereka yang menggunakannya Buku Besar Langsung.
🚨Kami telah mengidentifikasi dan menghapus versi berbahaya dari Ledger Connect Kit. 🚨
- Buku Besar (@Ledger) Desember 14, 2023
Versi asli sedang didorong untuk menggantikan file berbahaya sekarang. Jangan berinteraksi dengan dApps apa pun untuk saat ini. Kami akan terus memberi Anda informasi seiring perkembangan situasi.
Perangkat Buku Besar Anda dan…
Peringatan yang Dikeluarkan oleh Ledger Security
Pakar keamanan mata uang kripto terkemuka, termasuk banteg, telah mengkonfirmasi kompromi perpustakaan Ledger dan menyarankan agar tidak berinteraksi dengan aplikasi terdesentralisasi (dApps) sampai kejelasan lebih lanjut muncul. Kerentanan tampaknya juga mempengaruhi ledger connect-kit-loader, karena menentukan ketergantungan secara longgar.
Serangan tersebut berpotensi berdampak pada berbagai pihak, seperti yang ditunjukkan oleh daftar perpustakaan dan aplikasi yang terkena dampak menggunakan @ledgerhq/connect-kit. Saran Ledger untuk menggunakan pemuat connect-kit untuk memuat connect-kit memperburuk masalah, bahkan karena versi loader yang disematkan mengambil versi terbaru dari connect-kit, yang menyebabkan infiltrasi meluas.
🚨 perpustakaan buku besar dikonfirmasi telah disusupi dan diganti dengan drainer. tunggu berinteraksi dengan dapps apa pun sampai semuanya menjadi lebih jelas.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) Desember 14, 2023
Penyerang telah berhasil menyusupi sejumlah besar perpustakaan hanya dengan menargetkan kit koneksi. Ledger mengidentifikasi versi 1.1.4 sebagai rilis aman terakhir yang diketahui, namun menganggap semua rilis hingga 1.1.7, yang diposting pada hari penyerangan, telah disusupi.
Insiden keamanan ini menggarisbawahi pentingnya langkah-langkah keamanan siber yang kuat di dunia yang berkembang pesat Web 3Domain .0, bahkan alat yang sudah mapan seperti perpustakaan Ledger pun tidak kebal terhadap serangan cyber yang canggih.
Penolakan tanggung jawab
Sejalan dengan Percayai pedoman Proyek, harap dicatat bahwa informasi yang diberikan pada halaman ini tidak dimaksudkan untuk dan tidak boleh ditafsirkan sebagai nasihat hukum, pajak, investasi, keuangan, atau bentuk nasihat lainnya. Penting untuk hanya menginvestasikan jumlah yang mampu Anda tanggung kerugiannya dan mencari nasihat keuangan independen jika Anda ragu. Untuk informasi lebih lanjut, kami menyarankan untuk merujuk pada syarat dan ketentuan serta halaman bantuan dan dukungan yang disediakan oleh penerbit atau pengiklan. MetaversePost berkomitmen terhadap pelaporan yang akurat dan tidak memihak, namun kondisi pasar dapat berubah tanpa pemberitahuan.
Tentang Penulis
Nik adalah analis dan penulis ulung di Metaverse Post, yang berspesialisasi dalam memberikan wawasan mutakhir ke dalam dunia teknologi yang bergerak cepat, dengan penekanan khusus pada AI/ML, XR, VR, analitik on-chain, dan pengembangan blockchain. Artikel-artikelnya melibatkan dan menginformasikan audiens yang beragam, membantu mereka tetap berada di depan kurva teknologi. Memiliki gelar Master di bidang Ekonomi dan Manajemen, Nik memiliki pemahaman yang kuat tentang nuansa dunia bisnis dan persinggungannya dengan teknologi baru.
lebih artikelNik adalah analis dan penulis ulung di Metaverse Post, yang berspesialisasi dalam memberikan wawasan mutakhir ke dalam dunia teknologi yang bergerak cepat, dengan penekanan khusus pada AI/ML, XR, VR, analitik on-chain, dan pengembangan blockchain. Artikel-artikelnya melibatkan dan menginformasikan audiens yang beragam, membantu mereka tetap berada di depan kurva teknologi. Memiliki gelar Master di bidang Ekonomi dan Manajemen, Nik memiliki pemahaman yang kuat tentang nuansa dunia bisnis dan persinggungannya dengan teknologi baru.