Libreria Ledger ConnectKit compromessa da uno scolapiatti, che comporta rischi per la sicurezza Web3 Apps
In Breve
La libreria ConnectKit di Ledger è stata violata, sostituendo lo strumento legittimo con uno script drenante che ha esposto numerosi attacchi Web3 app.
Si è verificata una violazione della sicurezza nel Web3 sfera, compromettendo la Kit di connessione al registro libreria, fondamentale per collegare Ledger Live con le applicazioni. Questo hack comporta la sostituzione della libreria con uno script "drenatore", ponendo una seria minaccia ai fondi degli utenti.
Il pacchetto compromesso, ConnectKit, carica automaticamente uno script JavaScript da cdn.jsdelivr.net, che include uno scaricatore, nell'ambito globale.
Questa infiltrazione ha reso vulnerabile il frontend delle applicazioni che utilizzano questa libreria, in particolare dopo l'autorizzazione dell'utente. I rapporti indicano che gli aggressori hanno alterato la finestra modale di connessione del portafoglio, mettendo a rischio tutti i proprietari del portafoglio, non solo quelli che lo utilizzano Ledger Live.
🚨Abbiamo identificato e rimosso una versione dannosa del Ledger Connect Kit. 🚨
- Ledger (@Ledger) Dicembre 14, 2023
Attualmente viene inviata una versione autentica per sostituire il file dannoso. Non interagire con nessuna dApp per il momento. Vi terremo informati sull'evolversi della situazione.
Il tuo dispositivo Ledger e...
Avvisi emessi da Ledger Sicurezza
Notevoli esperti di sicurezza delle criptovalute, incluso Banteg, hanno confermato la compromissione della libreria Ledger e sconsigliano le interazioni con qualsiasi applicazione decentralizzata (dApps) finché non emergerà maggiore chiarezza. La vulnerabilità sembra influenzare anche il registro connect-kit-loader, poiché specifica la dipendenza in modo approssimativo.
L'attacco ha un impatto potenziale su un'ampia gamma di soggetti, come indicato da un elenco di librerie e applicazioni interessate che utilizzano il dominio @ledgerhq/connect-kit. Il suggerimento di Ledger di utilizzare il caricatore connect-kit per caricare il connect-kit aggrava il problema, poiché anche le versioni bloccate del caricatore recuperano l'ultima versione di connect-kit, portando a un'infiltrazione diffusa.
🚨 libreria mastro confermata compromessa e sostituita con uno scolapiatti. aspetta di interagire con qualsiasi dapp finché le cose non diventano più chiare.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) Dicembre 14, 2023
Gli aggressori sono riusciti a compromettere un numero significativo di librerie prendendo di mira solo il connect-kit. Ledger identifica la versione 1.1.4 come l'ultima versione sicura conosciuta, ma considera compromesse tutte le versioni fino alla 1.1.7, pubblicate il giorno dell'attacco.
Questo incidente di sicurezza sottolinea l’importanza fondamentale di solide misure di sicurezza informatica in un contesto in rapida evoluzione Web 3.0, dove anche strumenti consolidati come la libreria Ledger non sono immuni da attacchi informatici sofisticati.
Negazione di responsabilità
In linea con la Linee guida del progetto Trust, si prega di notare che le informazioni fornite in questa pagina non intendono essere e non devono essere interpretate come consulenza legale, fiscale, di investimento, finanziaria o di qualsiasi altra forma. È importante investire solo ciò che puoi permetterti di perdere e chiedere una consulenza finanziaria indipendente in caso di dubbi. Per ulteriori informazioni, suggeriamo di fare riferimento ai termini e alle condizioni nonché alle pagine di aiuto e supporto fornite dall'emittente o dall'inserzionista. MetaversePost si impegna a fornire report accurati e imparziali, ma le condizioni di mercato sono soggette a modifiche senza preavviso.
Circa l'autore
Nik è un esperto analista e scrittore di Metaverse Post, specializzata nella fornitura di approfondimenti all'avanguardia nel frenetico mondo della tecnologia, con un'enfasi particolare su AI/ML, XR, VR, analisi on-chain e sviluppo blockchain. I suoi articoli coinvolgono e informano un pubblico eterogeneo, aiutandolo a stare al passo con la curva tecnologica. In possesso di un Master in Economia e Management, Nik ha una solida conoscenza delle sfumature del mondo degli affari e della sua intersezione con le tecnologie emergenti.
Altri articoliNik è un esperto analista e scrittore di Metaverse Post, specializzata nella fornitura di approfondimenti all'avanguardia nel frenetico mondo della tecnologia, con un'enfasi particolare su AI/ML, XR, VR, analisi on-chain e sviluppo blockchain. I suoi articoli coinvolgono e informano un pubblico eterogeneo, aiutandolo a stare al passo con la curva tecnologica. In possesso di un Master in Economia e Management, Nik ha una solida conoscenza delle sfumature del mondo degli affari e della sua intersezione con le tecnologie emergenti.